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通过 80 个 实例 ， 详 细 讲 解 了 Wireshark 数 据 包 分 析 实 施 的 8 大 类 技巧 
基于 Wireshark 抓 取 的 数据 包 ， 层 层 剥 草地 剖析 了 12 种 常见 网 络 协议 的 构成 


要 全 面 涵盖 Wireshark 基 础 知识 和 应 用 技巧 ， 以 及 使 用 Wireshark 对 网 络 协议 进行 分 析 
可 遵循 规范 ， 从 专业 的 角度 循序 渐进 地 讲解 了 Wireshark 抓 包 及 分 析 的 实施 流程 

可 针对 海量 数据 问题 ， 详 细 讲 解 了 捕获 过 滤器 、 显 示 过 滤器 和 着 色 规则 等 专业 技巧 

村 以 图 表 结 合 的 形式 直观 地 展示 了 协议 报 结构 ， 帮 助 读者 快速 掌握 各 种 抽象 的 网 络 协议 
可 对 抓 取 的 数据 包 按 照 协议 层次 ， 逐 层 讲解 了 各 个 协议 在 数据 包 中 的 体现 
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内 容 简 介 


本 书 由 浅 入 深 , 全 面 系 统 地 介绍 了 Wireshark 数据 抓 包 和 数据 包 分 析 。 本 书 提供 了 大 量 实例 ， 供 读者 
实战 演练 Wireshark 的 各 项 功能 。 同 时 ， 对 抓 取 的 数据 包 按 照 协 议 层次 ， 逐 层 讲解 各 个 协议 在 数据 包 中 的 
体现 。 这 样 ， 读 者 就 可 以 掌握 数据 包 抓 取 到 信息 获取 的 每 个 环节 。 

本 书 共 分 3 篇 。 第 1 篇 介绍 Wireshark 的 各 项 功能 ， 包 括 基础 知识 、Wireshark 的 定制 、 捕 获 过 滤器 
和 显示 过 滤器 的 使 用 、 数 据 包 的 着 色 、 导 出 和 重组 等 ， 第 2 篇 介绍 基于 Wireshark 对 TCP/IP 协议 族 中 常 
协议 的 详细 分 析 ， 如 ARP、 了 了 、UDP、TCP、HTTP、HTTPS 和 FTP 等 ; 第 3 篇 介绍 借助 Wireshark 分 
析 操 作 系统 启动 过 程 中 的 网 络 通信 情况 。 

本 书 涉及 面 广 ,内 容 包括 工具 使 用 \ 网 络 协议 和 应 用 。 本 书 适合 各 类 读者 群体 , 如 想 全 面 学 习 Wireshark 
的 初学 者 、 网 络 管理 员 、 渗 透 测试 人 员 及 网 络 安全 专家 等 。 对 于 网 络 数据 分 析 人 士 ， 本 书 更 是 一 本 不 可 
多 得 的 案头 必 备 参考 书 。 


本 书 封面 贴 有 清华 大 学 出 版 社 防伪 标签 ， 无 标签 者 不 得 销售 。 
版 权 所 有 ， 侵 权 必 究 。 侵 权 举 报 电话 : 010-62782989 13701121933 
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网 络 的 普及 给 人 们 的 生活 带 来 了 极 大 的 便利 ， 同 时 网 络 的 安全 问题 也 成 为 公众 热点 。 
网 络 数据 抓 包 和 分 析 作为 网 络 管理 和 监控 最 有 效 的 措施 ， 越 来 越 受 到 网 络 管理 人 员 和 网 络 
安全 人 员 的 重视 。 

Wireshark 作为 一 款 开 源 的 专业 数据 抓 包 和 分 析 工 具 , 深 受 业内 人 士 欢迎 。 它 提供 了 强 
大 的 数据 抓 取 功 能 和 丰富 的 数据 分 析 方式 。 面 对 Wireshark 强大 的 功能 和 海量 的 数据 包 ， 
初学 者 往往 无 从 下 手 。 

笔者 结合 网 络 数据 传输 及 安全 方面 存在 的 各 种 问题 ， 经 过 分 析 及 总 结 ， 编 写 了 本 书 。 
本 书 通过 专业 的 数据 抓 包 流程 , 逐步 讲解 Wireshark 各 项 强大 的 功能 。 同 时 , 基于 Wireshark 
抓 取 的 数据 包 ， 以 层 层 剥 草 的 形式 ， 讲 解 常见 的 各 种 网 络 协议 。 这 样 读者 可 以 更 直接 地 党 
握 各 种 协议 类 型 的 数据 包 。 

通过 本 书 的 学 习 ， 读 者 不 仅 可 以 轻松 掌握 Wireshark 的 使 用 ， 踏 入 网 络 数据 分 析 的 大 
门 ， 还 可 以 更 为 直观 地 理解 TCP/IP 各 个 协议 ， 以 及 这 些 协议 在 数据 包 中 的 表现 。 掌 握 这 
些 技术 ， 再 加 以 充分 的 练习 ， 就 可 以 轻松 应 对 网 络 数 据 分 析 等 各 项 工作 。 


本 书 特色 


1. 内 容 全 面 、 系 统 、 深 入 


本 书 介绍 了 Wireshark 的 基础 知识 、 捕 获 过 滤器 和 显示 过 滤器 的 使 用 、 对 数据 包 进 行 
导出 或 重组 等 。 然 后 ， 介 绍 了 使 用 Wireshark 对 各 种 协议 的 详细 分 析 。 最 后 ， 还 详细 分 析 
了 操作 系统 启动 过 程 的 数据 包 。 


2. 贴近 实际 ， 专 业 讲解 


本 书 按照 Wireshark 专业 使 用 流程 ， 对 其 功能 进行 详细 讲解 ， 帮 助 读者 掌握 最 高 效 的 
数据 抓 包 、 分 析 技 术 ， 以 解决 各 种 复杂 的 网 络 问题 。 同 时 ， 针 对 围绕 海量 数据 包 处 理 问题 ， 
本 书 详细 介绍 相关 技术 ， 如 抓 取 过 滤器 、 显 示 过 滤器 、 着 色 规则 等 功能 。 


3. 直观 讲解 网 络 协议 


对 于 网 络 数据 包 涉 及 的 网 络 协议 ， 本 书 给 以 最 直观 的 讲解 。 首 先 分 析 协 议 的 工作 原理 
以 及 相关 数据 包 的 构成 ， 然 后 对 照 Wireshark 数据 包 视 图 进行 逐条 比 对 ， 帮 助 读者 以 最 直 
观 的 形式 学 习 和 掌握 各 个 网 络 协议 。 


4. 提供 多 种 学 习 和 交流 的 方式 
为 了 方便 大 家 学 习 和 交流 , 我 们 提供 了 多 种 方式 。 读 者 可 以 在 论坛 www.wanjuanchina. 


Wireshark 数据 包 分 析 实 战 详 解 


net 上 发 帖 讨论 Wireshark 相关 技术 ; 也 可 以 通过 QQ 群 336212690 转 入 对 应 的 Wireshark 
技术 群 ; 还 可 以 就 图 书 阅 读 中 遇 到 的 问题 致 信 book@wanjuanchinanet 或 
bookservice2008@163.com， 以 获得 帮助 。 


本 书 内 容 及 体系 结构 


第 1 篇 “Wireshark 应 用 篇 〈 第 1 一 9 章 ) 


本 篇 主要 内 容 包括 : Wireshark 的 基础 知识 、 设 置 Wireshark 视图 、 捕 获 过 滤器 技巧 、 
显示 过 滤器 技巧 、 着 色 规 则 和 数据 包 导出 、 构 建 图 表 、 重 组 数据 、 添 加 注释 等 。 通 过 本 篇 
的 学 习 ， 读 者 可 以 掌握 Wireshark 的 基本 操作 ， 灵 活 地 使 用 捕获 过 滤器 和 显示 过 滤器 ， 并 
可 以 对 Wireshark 中 的 数据 进行 重组 构建 图 表 等 。 


第 2 篇 ”网 络 协议 分 析 篇 (第 10 一 20 章 ) 


本 篇 主要 内 容 包 括 : ARP 协议 抓 包 分 析 、 互 联网 协议 (IP) 抓 包 分 析 、UDP 协议 抓 包 
分 析 、TCP 协议 抓 包 分 析 、ICMP 协议 抓 包 分 析 、DHCP 数据 抓 包 分 析 、DNS 抓 包 分 析 、 
HTTP 协议 抓 包 分 析 、HTTPS 协议 抓 包 分 析 、FTP 协议 抓 包 分 析 和 电子 邮件 抓 包 分 析 。 通 
过 本 篇 的 学 习 ， 读 者 可 以 掌握 TCP/IP 协议 族 中 每 层 中 包括 的 协议 、 协 议 的 格式 及 传输 的 

第 3 篇 “实战 篇 〈 第 21 章 ) 

本 篇 主要 内 容 包 括 : 操作 系统 启动 过 程 抓 包 分 析 。 通 过 本 篇 的 学 习 ， 读 者 可 以 掌握 一 
个 操作 系统 启动 过 程 中 会 自动 开启 哪些 服务 、 获 取 地 址 的 过 程 及 启动 的 一 些 应 用 程序 等 。 


本 书 配套 资源 获取 方式 


本 书 涉及 的 源 程序 、 工 具 及 接线 图 等 资源 需要 读者 自行 下 载 。 请 登录 清华 大 学 出 版 社 
的 网 站 http:/www.tup.com.cn， 搜 索 到 本 书页 面 后 按照 提示 下 载 即 可 。 另 外 ， 读 者 也 可 以 
到 www.wanjuanchina.net 社区 的 相关 版 块 下 载 。 


本 书 读者 对 象 


Wireshark 初学 者 ; 

想 全 面 学 习 Wireshark 的 人 员 ; 
各 种 兴趣 爱好 者 ; 

网 络 管理 员 ; 

专业 的 安全 渗透 测试 人 员 ; 

大 中 专 院 校 的 学 生 ; 

社会 培训 班 学 员 。 
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第 1 章 Wireshark 的 基础 知识 


Wireshark〈 前 称 Ethereal) 是 一 个 网 络 包 分 析 工 具 。 该 工具 主要 是 用 来 捕获 网 络 包 ， 
并 显示 包 的 详细 情况 。 本 章 将 介绍 Wireshark 的 基础 知识 。 


1.1 Wireshark 的 功能 


在 学 习 Wireshark 之 前 ， 首 先 介绍 一 下 它 的 功能 。 了 解 它 的 功能 ， 可 以 帮助 用 户 明确 
借助 该 工具 能 完成 哪些 工作 。 本 节 将 介绍 Wireshark 的 基本 功能 。 


1.1.1 Wireshark 主 窗口 界面 


在 学 习 使 用 Wireshark 之 前 ， 首 先 需要 了 解 该 工具 主 窗口 界面 中 每 部 分 的 作用 。 
Wireshark 主 窗口 界面 如 图 1.1 所 示 。 


A http-google101 pcapng [Wireshark 1107 7-0-g6b931a1 from master-1.10)] ， 


1 
re 
oo@amd SOxs aoeT Daadn mosg © 


Filter: [=] epresson- Clear Apply ="@ 

INo. Time Source Destination Protocol Length Timeto live Info 
1 0.000000000 Giga-Byt_0b:00:41Broadcast ARP 60 who has 192.168.0. | 
2 0.490913000 192.168.0.104 61.182.140.146 TcP 66 64 51833 > http [SN] 
30.511868000 。 61.182.140.146 192.168.0.104 TcP 60 55 http > 51833 KS 
4 0.511881000 192.168.0.104 61.182.140.146 TCP 60 ‘64 51833 > http [ASK] 
50.537138000 192.168.0.104 61.182.140.146 HTP 268 


64 GET /pc/qqclient/s ~ 


4[ nm | 


79 res on wire (1432 ie 179 Dyes EN Ce ES on nenface 0 


田 Destination: Tp 3c: 0) 
y Source: Giga-Byt_c8:4c:89 es i 4c:89) 【62 
Type: IP (0x0800) 
日 Inrernet Prorocol Version 4, Src: 192.168.0.104 (192.168.0.104), Dst: 65.55.69.140 (65.55.69.140) = 
Version: 4 
Header length: 20 bytes 
因 Differentiated Services Field: Ox00 (DSCP Ox00: Default; ECN: Ox00: Not-ECT (Not ECN-Capable Tral 
Total Length: 165 
Identification: 0x5bbd (23485) 
轩 F1a9s: Ox02 (Don't Fragment) 
Fragment offset: 0 
Time to live: 64 
Protocol: TCP (6) 
4 Header checksim. Nvofr? fvalidarion disable ] = 


Bc Cc 00 5 
40 b0 9f c9 00 00 47 45 $4 30 2F 72 2F $2 Be 83 GE TV/ i 
0040 64 57 61 74 73 6f 6e 52 43 31 34 20 48 54 54 50 a C14 HTTP 
O050 ?2f 31 ?7e 31 0d 0a 43 ff fe fe 65 63 74 69 6f fe 站 .1. .co_nnecrion. 遂 
||® W | Ethemet (eth), 14 bytes Packe... | Profie: Defauk © 


图 1.1 Wireshark 主 窗口 界面 
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在 图 1.1 中 ,以 编号 的 形式 已 将 Wireshark 主 窗口 每 部 分 标 出 。 下面 分 别 介绍 每 部 分 的 
含义 ， 如 下 所 示 。 


口 


@ 标题 栏 一 一 用 于 显示 文件 名 称 、 捕 获 的 设备 名 称 和 Wireshark 版 本 号 。 
@ 菜单 栏 Wireshark 的 标准 菜单 栏 。 
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@ 工具 栏 一 一 常用 功能 快捷 图 标 按钮 。 

@ 显示 过 滤 区 域 一 一 减少 查看 数据 的 复杂 度 。 

@ Packet List 面板 一 一 显示 每 个 数据 帧 的 摘要 。 

@ Packet Details 面板 一 一 分 析 封 包 的 详细 信息 。 

@ Packet Bytes 面板 一 一 以 十 六 进 制 和 ASCII 格式 显示 数据 包 的 细节 。 


状态 栏 专家 信息 、 注 释 、 包 数 和 Profile。 
Wireshark 的 作用 


Wireshark 是 一 个 广 受 欢迎 的 网 络 数据 包 分 析 软 件 。 网 络 数据 包 分 析 软 件 的 功能 是 截取 
网 络 数据 包 ， 并 尽 可 能 显示 出 最 为 详细 的 网 络 数据 包 数 据 。 它 是 一 个 最 知名 的 开源 应 用 程 
序 安全 工具 。Wireshark 可 以 运行 在 Windows、MAC OS X、Linux 和 UNIX 操作 系统 上 ， 
它 甚 至 可 以 作为 一 个 Portable App 运行 。 本 小 节 将 介绍 Wireshark 的 常用 功能 。 使 用 
Wireshark 可 以 快速 分 析 一 些 任务 ， 如 下 所 示 。 
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. 一 般 分 析 任务 


找 出 在 一 个 网 络 内 发 送 数据 包 最 多 的 主机 。 
查看 网 络 通信 。 

查看 某 个 主机 使 用 了 哪些 程序 。 

基本 正常 的 网 络 通信 。 
验证 特有 的 网 络 操作 。 

了 解 尝试 连接 无 线 网 络 的 用 户 。 

同时 捕获 多 个 网 络 的 数据 。 
实施 无 人 值守 数据 捕获 。 

捕获 并 分 析 到 /来 自 一 个 特定 主机 或 子 网 的 数据 。 
通过 FTP 或 HITP 查看 和 重新 配置 文件 传输 。 
从 其 他 捕获 工具 导入 跟踪 文件 。 

使 用 最 少 的 资源 捕获 数据 。 


故障 任务 

为 故障 创建 一 个 自 定义 的 分 析 环 境 。 
确定 路 径 、 客 户 端 和 服务 延迟 。 
确定 TCP 问题 。 

检查 HTTP 代理 问题 。 
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检查 应 用 程序 错误 响应 。 
通过 查看 图 形 显示 的 结果 ， 找 出 相关 的 网 络 问题 。 
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确定 重 载 的 缓冲 区 。 

比较 缓慢 的 通信 到 正常 通信 的 一 个 基准 。 
找 出 重复 的 卫 地 址 。 

确定 DHCP 服务 或 网 络 代 理 问题 。 

确定 WLAN 信号 强度 问题 。 

检测 WLAN 连接 的 次 数 。 

检查 各 种 网 络 配 置 错 误 。 

确定 应 用 程序 正在 加 载 一 个 网 络 片 段 。 


安全 分 析 〈 网 络 取证 ) 任务 


为 网 络 取证 创建 一 个 自 定义 分 析 环 境 。 
检查 使 用 非 标准 端口 的 应 用 程序 。 

确定 到 /来 自 可 疑 主机 的 数据 。 

查看 哪 台 主机 正在 尝试 获取 一 个 IP 地 址 。 
确定 phone home 数据 。 
确定 网 络 侦 查 过 程 。 

全 球 定位 和 映射 远程 目标 地 址 。 

检查 可 疑 数据 重 定向 。 

检查 单个 TCP 或 UDP 客户 端 和 服务 器 之 间 的 会 话 。 
检查 到 恶意 畸形 的 帧 。 

在 网 络 数据 中 找 出 攻击 签名 的 关键 因素 。 


应 用 程序 分 析 任 务 


了 解 应 用 程序 和 协议 如 何 工 作 。 

了 解 图 形 应 用 程序 的 带宽 使 用 情况 。 

确定 是 否 将 支持 应 用 程序 的 链接 。 

更 新 /升级 后 检查 应 用 程序 性 能 。 

从 一 个 新 安装 的 应 用 程序 中 检查 错误 响应 。 

确定 哪个 用 户 正 在 运行 一 个 特定 的 应 用 程序 。 
检查 应 用 程序 如 何 使 用 传输 协议 ， 如 TCP 或 UDP。 
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1.2 ”安装 Wireshark 


在 大 部 分 操作 系统 中 ， 默 认 是 没有 安装 Wireshark 工具 的 。 如 果 要 使 用 该 工具 ， 首 先 
需要 学 习 安 装 Wireshark。 Wireshark 对 主流 操作 系统 都 提供 了 支持 , 本 节 将 介绍 在 Windows 
和 Linux 下 安装 Wireshark 的 方法 。 

1.2.1 获取 Wireshark 


Wireshark 的 所 有 操作 系统 版 本 都 可 以 从 官方 网 站 获取 ，Wireshark 的 官方 网 站 是 
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http://www.wireshark.org， 如 图 1.2 所 示 。 该 工具 目前 最 新 的 稳定 版 本 是 1.10.7。 
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Apr 91By Gerald Combs 


nang They ao make orest products 


Troubleshoot your Network 
We're switching to Qt 国 

Oct 151By Gerad Combs A 
a ‘Save hours on networc and 
LENRN NORE > 村 Wireshark Tutoral Series #2. Tips and RR] applcalion issue diagnoees 
SHARKFEST “14 will be held from June 16 — 20 at trioks weed by nskders and vetersne Ss pe 

‘environments 
hip/ www riverbed.com/ J" CA Aug 121By Hansang Bae Gul packet capture and analysis 图 


图 1.2 ”Wireshark 官方 网 站 


该 界面 单 击 Download 按钮 ， 将 显示 如 图 1.3 所 示 的 界面 。 


@ hp /wwwireshark.. PD OM Wireshark .Download x* 
请 名 oogle 


-所 的 访问 出 异 了 图] 百度 一 下 ,你 就 50 道 已] aboutblank 刁 | 元 取 更 多 附加 模 决 ” 图 | 百度 站 Hao123 网 址 大 全 局 ] 9k9k 网 页 游戏 开 服 表 
WIRESHARK d 二 velop ~ 


We're having a conferencel You're invited! 


The current stable release of Wireshark is 1.10 7 It supersedes al previous releases You can also download Roverped 1 Wresnar prmary sponsor and provdes our 
{the latest development release (1.11.3) and documentation. rane They wao mane grost peace 
Troubleshoot your Network 
Loading. 


* Stable Release (1.10.7) 
Windows Installer (32-bit) 


Windows Installer (64-bit) 


Windows U3 GUI packet capture and analysis 
Fully integrated with Wireshark 
Windows PortableApps 


OS X 10.6 and later Intel 64-bit dmg de 


Days 
OSX105and later Intel 32-bit .dmg 
802.11 Packet Capture 
OS X 10.5 and later PPC 32-bit dmg 
WLAN packet caplure and 
Source Code transmission 
v 
* Old Stable Release (1.8.14) Ful 802 11 aygin support 


图 1.3 Wireshark 下 载 界面 


从 该 界面 可 以 看 到 ，Wireshark 目前 最 新 的 版 本 是 1.10.7。 该 网 站 提供 了 Windows、OS 
X 和 源码 包 的 下 载 地 址 。 用 户 可 根据 自己 的 操作 系统 ， 下 载 相应 的 软件 包 。 
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1.2.2 安装 Wireshark 


在 Wireshark 的 下 载 页 面 , 可 以 看 到 所 有 Wireshark 支持 的 操作 系统 列表 。 用户 可 以 根 


据 自 己 的 操作 系统 ， 选 择 下 载 对 应 的 软件 包 。 本 小 节 将 介绍 分 别 在 Windows 和 Linux 上 安 


装 Wireshark。 


1. 在 Windows 系 统 中 安装 Wireshark 


【实例 1-1】 在 Windows 中 安装 Wireshark。 具 体操 作 步 又 如 下 所 示 。 
(1) 从 Wireshark 官网 下 载 最 新 版 本 的 Windows 安装 包 ， 其 名 称 为 Wireshark-win32- 


1.10.7.exe。 


(2) 双击 下 载 的 软件 包 ， 将 显示 如 图 1.4 所 示 的 界面 。 
(3) 该 界面 显示 了 Wireshark 的 基本 信息 。 此 时 单 击 Next 按钮 ， 将 显示 如 图 1.5 所 示 


的 界面 。 


Wireshark 1107 (32-bit) Setup 


lo, me 


Welcome to the Wireshark 1.10.7 
(32-bit) Setup Wizard 


This wizard wdl guide you through the nstalaton of 
Wreshark- | 
Before startng the netalaton make are Wreshark enot | 
rumning. 


Chck Next to contnue. 


Ml wireshark 1107 (32-bit) Setup 


Ucense Agreement 
Please revew the hcense terms before natalng Wreshark 1.10.7 (324x， 


| Press Page Down to see the rest of the agreement. 


Je text congsts of tree parts: 


in doubt: Part /UIL is the legally bnding part Part 1is just 
|here to make teaser for people that are not famaar With the GPLV2. 


1f you accept the terms of he agreement, cick 1 Agree to contnue. You must accept the 
agreement to instal Wreshark 1.10,7 (32000), 


[xeon Lie | ( coce | 


图 1.4 


欢迎 界面 


图 1.5 许可 协议 对 话 框 


(4) 该 界面 显示 了 使 用 Wireshark 的 许可 证 条 款 信息 。 此 时 单 击 IAgree 按钮 ， 将 显示 


如 图 1.6 所 示 的 界面 。 


钮 ， 将 显示 如 图 1.7 所 示 的 界面 。 


(5) 该 界面 选择 希望 安装 的 Wireshark 组 件 ， 这 里 使 用 默认 的 设置 。 然 后 单 击 Next 按 


帮 wireshark 1.107 (32-bit) Setup 


四 村 二 二 


A wireshark 1107 (32-bit) Setup 


Choose Components 
choose which features of Wireshark 1.10.7 (32bit) you want to nstal 


The folowing components are avalable for nstalation. 


Space required: 90.5vB 


| Select Additional Tasks 


4 


Which additonal tasks shoud be done? 


Fie Extensons 

Assocate race fie extensions to Wreshark (Svw, acp, apc ate, bfi, 

ap, enc ef, fdc, out peap, pcapng, pkt rf5, snoop, syc, tpe, rl, 
race rc, var wpc wp 


EEC 


图 1.6 选择 组 件 对 话 杠 


图 1.7 Additional Tasks 对 话 框 
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(6) 该 界面 用 来 设置 创建 快捷 方式 的 位 置 和 了 解 文件 扩展 名 。 设 置 完 后 单 击 Next 按 
钮 ， 将 显示 如 图 1.8 所 示 的 界面 。 
(7) 在 该 界面 选择 Wireshark 的 安装 位 置 。 然 后 单 击 Next 按钮 ， 将 显示 如 图 1.9 所 示 


Destnabon Folder 


Space requred: 90,5MB 
Space avalable: 96.5GB 


Wireshark 1107 (32-bit) Setup elie | A Wreshat1107 G2-bid Setup 本 至 -| 
choose maall Location Iinstall WinPcap? 
Choose the folder in which to nstal Wreshark 1.10.7 (320). 厦 3 纪 ee 厦 
Choose a drectory n which to natal Wreshark. opr ese 
ra 


Crogran FlesWwreshark Eee 


| Eee 


园 mnstal Wrpcap 413 
(Use Add/Remove Programs frst to unnstal any undetected od Winpcap versons) 


ET 


图 1.8 ”安装 位 置 对 话 框 


图 1.9 安装 WinPcap 对 话 框 


(8) 该 界面 提示 是 否 要 安装 WinPcap。 如 果 要 使 用 Wireshark 捕获 数据 ， 必 须要 安装 
WinPcap。 所 以 这 里 必须 将 Install WinPcap 4.1.3 复 选 框 勾 上 ， 然 后 单 击 Install 按钮 ， 
Wireshark 将 开始 安装 。 等 Wireshark 安装 过 程 进行 了 大 约 一 半 的 时 候 , 将 弹出 如 图 1.10 所 


示 的 界面 。 


(9) 该 界面 显示 了 WinPcap 基本 信息 


界面 。 


局 winpcap 413 Setup 


Welcome to the WinPcap 4.1.3 
Setup Wizard 
ee 


Kor mre Peepeation or mupport, Please vikt tre Wrpeap 
home page. 


http://www.winpcap.org 


。 此 时 单 击 Next 按钮 ， 将 显示 如 图 1.11 所 示 的 


局 winpcap 413 Setup 加 二) 


WinPeap ep Meense terms before nstalng Wnpcap 4.1.3. 


Press Page Down to see the rest of the agreement. 


night (c) 1999 - 2005 NetGroup, Politecnico di Torino (italy). 
right (c) 2005 - 2010 CACE Technologies, Davis (Calfornia), 
2 (caifomia)， a 
ts reserved. 


stribution and use im source and bnary forms, with or without modificaton, are 
provided that the folowing conditions are met: 


1 Redstributions of source code must retain the above copyright notice, this Ist of 
and the folowng 
2 Redstributions In binary form must reproduce the above copyright notice, this lst of ~ 


1f you accept the terms of the agreement, cick 1 Agree to continue, You must accept the 
agreement to nstal WinPcap 4,13. 


Cet Jingee ] ( cme ] 


图 1.10 ”WinPcap 欢迎 界面 


(10) 该 界面 


所 示 的 界面 。 


(11) 在 该 界面 显示 了 安装 WinPcap 的 选项 


所 示 的 界面 。 


图 1.11 WinPeap 许可 证 条 款 对 话 框 


显示 了 WinPcap 许可 证 条 款 信息 。 此 时 单 击 IAgree 按钮 , 将 显示 如 图 1.12 


， 然 后 单 击 Install 按钮 ， 将 显示 如 图 1.13 
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局 winpcap413 Setup ET | @ winpcsp 413 setup 


WinPeap ee folowing optons before nstalng Wrpcap 


[eT ee 


Completing the WinPcap 4.1.3 
Setup Wizard 
WinPcap 4.1.3has been instaled on your computer. 


Cidk Finish to dose ths wizard. 
| 
国 Automaticaly start the Winpcap driver at boot tme 


Back | em | [ cae | [ae ] 


图 1.12 ”安装 选项 图 1.13 ”安装 WinPcap 完成 
(12) 从 该 界面 可 以 看 到 WinPcap 已 安装 完成 。 此 时 单 击 Finish 按钮 ， 将 继续 安装 
Wireshark。 安 装 完成 后 ， 将 显示 如 图 1.14 所 示 的 界面 。 


(13) 从 该 界面 可 以 看 到 Wireshark 已 经 安装 完成 。 此 时 单 击 Next 按钮 ， 将 显示 如 图 
1.15 所 示 的 界面 。 


PE =" I Wireshark 1107 (32-bit) Setup ET 
Installation Complete Completing the Wireshark 1.10.7 
Setup was completed successfuly, (32-bib Setup Wizard 

| completed 


Wireshark 1.10.7 (32bi has been nstaled on your 
computer. 


Output folder: C:\Program Fies\Wireshark 
Extract capinfos,exe 
Extract: capnfos.html 
Output folder: C:\Program Fies\Wireshark 
Extract: rawshark.exe 


Chck Finish to dose this wizard, 


Run Wereshark 1.10,7 (32bt) 


ER 
Euract anahachtml 

Dutput folder: C:\Program Fies\WWireshark 

Extract: user -guide.chm 

Execute: "C:\Windows\system32Ye4uinit.exe” -CleariconCache 

Completed 

Ce Eee Lo 
图 1.14 ”Wireshark 安装 完成 图 1.15 完成 界面 


(14) 从 该 界面 可 以 看 到 Wireshark 设置 向 导 完 成 。 此 时 如 果 想 直接 启动 Wireshark， 


则 选择 Run Wireshark 1.10.7(32-bit) 复 选 框 。 然 后 单 击 Finish 按钮 ，Wireshark 即 可 启动 。 


2. 在 Linux 系 统 中 安装 Wireshark 


【实例 1-2】 下 面 演示 在 Red Hat Linux 系统 中 安装 Wireshark。 有 具体 操作 步骤 如 下 所 示 。 
(1) 从 Wireshark 官网 下 载 Wireshark 的 源码 包 ， 其 软件 名 为 wireshark-1.10.7.tarbz2 
(2) 解压 Wireshark 软件 包 。 执 行 命令 如 下 


[root@localhost ~]# tar jxvf wireshark-1.10.7.tar.bz2 -C /usr/ 


执行 以 上 命令 后 ，Wireashark 将 被 解压 到 /usr/ 目 录 中 。 
(3) 配置 Wireshark 软件 包 。 执 行 命令 如 下 


[root@localhost ~]# cd /usr/wireshark-1.10.7/ 


8. 
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[root@localhost wireshark-1.10.7]# ./configure 


(4) 编译 Wireshark 软件 包 。 执 行 命令 如 下 : 

[root@localhost wireshark-1.10.7]# make 

(5) 安装 Wireshark 软件 包 。 执 行 命令 如 下 : 

[root@localhost wireshark-1.10.7]# make install 

以 上 过 程 成 功 执行 完 后 ， 表 示 Wireshark 软件 已 成 功 安装 。 

接 下 来 就 可 以 使 用 Wireshark 工具 了 。 在 终端 输入 命令 wireshark， 启 动 该 工具 。 如 下 : 


[root@localhost ~]# wireshark 


执行 以 上 命令 后 ， 将 显示 如 图 1.16 所 示 的 界面 。 


Running as user "root" and group "root". 
This could be dangerous. 


If you're running Wireshark this way in order to perform live 
capture, you may want to be aware that there is a better way 


documented at 
http://wiki.wireshark.org/CaptureSetup/CapturePrivileges 


口 Don't show this message again. 


确定 (0) 
图 1.16 警告 信息 


该 界面 提示 当前 系统 使 用 root 用 户 启动 了 Wireshark 工具 ， 可 能 是 危险 的 。 可 以 直接 
单 击 “ 确 定 ” 按 钮 启动 Wireshark， 如 图 1.17 所 示 。 如 果 不 想 让 该 窗口 再 次 弹出 ， 将 Don't 
show this message again 前 面 的 复 选 框 勾 上 。 

画 The Wireshark Network Analyzer [Wireshark 1.10.7 (Git Rev Unknown from unknown)] 
File Edit View Go Capture Analyze Statistics Telephony Jools Intemals Help 
@@4d 名 本 加 


Filter | 


Expression.,. 


__/\ The World's Most Popular Network Protocol Analyze 
WIRESHARK 


Version 1.10.7 (Git Rev Unknown from unknown) 


[Flles | 
Interface List 号 Open 


Live list of the capture interfaces 


Open a previously captured file 
(counts incoming packets) 


Open Recent: 
外 Start 
Choose one or more interfaces to capture from, then Start Sample Captures 
了 四 nmfog 中 A rich assortment of example capture files on the wiki 
辆 nfqueue 


这] dbus-system 
园 dbus-session 


Ready to load or capture No Packets Profile: Default 


图 1.17 Wireshark 主 界面 
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该 界面 显示 了 Wireshark 的 相关 信息 。 该 界面 显示 了 Wireshark 的 四 部 分 ， 由 于 截图 原 
因 ， 所 以 将 该 界面 缩小 。 每 部 分 内 容 中 的 命令 ， 都 可 以 使 用 鼠标 单 击 打开 进行 查看 。 在 该 
界面 选择 将 要 捕获 数据 的 接口 , 单 击 Interface List 命令 或 者 在 Start 命令 下 的 方 框 中 选择 接 
口 ， 然 后 单 击 Start 命令 开始 捕获 数据 。 


1.3 ”Wireshark 捕获 数据 


当 用 户 的 计算 机 连接 到 一 个 网 络 时 ， 它 依赖 一 个 网 络 适配器 (如 以 太 网 卡 ) 和 链 路 层 
驱动 (如 Atheros PCI-E 网 卡 驱动 ) 来 发 送 和 接收 数据 包 。Wireshark 为 了 捕获 和 分 析 数 据 
包 ， 也 是 依赖 网 络 适配器 和 网 卡 驱 动 来 传递 数据 。 本 节 将 介绍 Wireshark 捕获 数据 的 工作 
流程 。Wireshark 的 系统 结构 如 图 1.18 所 示 。 


GIMP Graphical Toolkit (GTK ) 


[dissectors - plugins - display filters] 
核心 引擎 


会 


会 


Wiretap 


dumpcap 
捕获 引擎 


Libpcap/ WinPcap 


[捕获 过 滤器 ] 


网 络 


图 1.18 ”Wireshark 系统 结构 


在 Wireshark 系统 结构 中 ， 各 模块 的 功能 如 下 所 示 。 

(1) GTK: 图 形 窗口 工具 ， 操 控 所 有 的 用 户 输入 /输出 界面 。 

(2) 核心 引擎 : 将 其 他 模块 连接 起 来 ， 起 到 综合 调度 的 作用 。 

(3) 捕获 引擎 : 依赖 于 底层 库 Libpcap/WinPcap， 进 行 数据 捕获 。 

(4) Wiretap 是 用 来 读 取 和 保存 来 自 于 WinPcap 的 捕获 文件 和 一 些 其 他 的 文件 格式 。 

在 图 1.18 中 Libpcap (WinPcap 是 其 Windows 版 本 ) 可 以 提供 与 平台 无 关 的 接口 ， 而 
且 操 作 简 单 。 它 是 基于 改进 的 BPF 开发 的 。Linux 用 户 使 用 Libpcap，Windows 用 户 使 用 
WinPcap 。 


1.4 认识 数据 包 


Wireshark 将 从 网 络 中 捕获 到 的 二 进 制 数据 按照 不 同 的 协议 包 结构 规范 , 显示 在 Packet 


。10 。 
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Details 面板 中 。 为 了 帮助 用 户 能 够 清楚 地 分 析 数 据 ， 本 节 将 介绍 识别 数据 包 的 方法 。 

在 Wireshark 中 关于 数据 包 的 叫 法 有 3 个 术语 ， 分 别 是 帧 、 包 、 段 。 下 面 通过 分 析 一 
个 数据 包 ， 来 介绍 这 3 个 术语 。 在 Wireshark 中 捕获 的 一 个 数据 包 ， 如 图 1.19 所 示 。 每 个 
帧 中 的 内 容 展开 后 ， 与 图 1.19 显示 的 信息 类 似 。 


Interface id: 0 

Encapsulation type: Ethernet (1) 

Arrival Time: Jun 11，2014 09:12:18.469086000 EBEEEEIEEIEIEB] 

[Time shift for this packet: 0.000000000 seconds] 

Epoch Time: 1402449138.469086000 seconds 

[Time delta from previous captured frame: 0.025257000 seconds] 

[Time delta from previous displayed frame: 0.025257000 seconds] 

[Time since reference or first frame: 0.537138000 seconds 

Frame Number: 5 

Frame Length: 268 bytes (2144 bits) 

Capture Length: 268 bytes (2144 bits) 

[Frame 1s marked: False] 

[Frame is ignored: False] 2 

[protocols in frame: eth:ip:tcp:http] 数据 帧 概况 

[Number of per-prorocol-dara: 2] 

[Hypertext Transfer Protocol, key 0] 

[Transmission Control Protocol, key 0] 

[coloring Rule Name: HTTP] 

[coloring Rule string: http || tcp.port == 80] 
田 Ethernet II, Src: Giga-Byt_c8:4c:89 (1c:6f:65:c8:4c:89), Dst: Tp-LinkT_f9:3c:c0 (6c:e8:73:f9:3c:c0) 
田 Internet protocol Version 4, src: 192.168.0.104 (192.168.0.104), Dst: 61.182.140.146 (61.182.140.146) 
册 Transmission Control Protocol, Src Port: 51833 (51833), Dst Port: http (80), Seq: 1，Ack: 1, Len: 21: 


= Hypertext Transfer Protocol 
， GET /pc/qqclient/sfile/index. json HTTP/1.1\r\n 包 
Accept: */*\r\n 自 
If-Modified-Since: wed, 11 Jun 2014 00:43:29 GHT\r\n 帧 
User -Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)\r\n 
Host: pub. 1dqqimg. com\r\n 
pragma: no-cache\r\n 


Fu]1 request URI: http://pub. idqqimg., com/pc/qqclient/sfile/index, ison 
[HTTP request 1/1] 
in frame: 7 


图 1.19 数据 包 详细 信息 


该 界面 可 以 看 出 显示 了 5 行 信息 ， 默 认 这 些 信息 是 没有 被 展开 的 。 各 行 信息 如 下 所 示 。 
Frame: 物理 层 的 数据 帧 概况 。 
Ethemet II: 数据 链 路 层 以 太 网 帧 头 部 信息 。 
Internet Protocol Version 4: 互联 网 层 耳 包头 部 信息 。 
Transmission Control Protocol: 传输 层 的 数据 段 头 部 信息 ， 此 处 是 TCP 协议 。 
Hypertext Transfer Protocol: 应 用 层 的 信息 ， 此 处 是 HITP 协议 。 

下 面 分 别 介绍 在 图 1.19 中 ， 帧 、 包 和 段 内 展开 的 内 容 。 如 下 所 示 。 


1. 物理 层 的 数据 帧 概况 


日 上 日 日 日 日 法 


Frame 5: 268 bytes on wire (2144 bits), 268 bytes captured (2144 bits) on 


interface 0 #5 号 帧 ， 线 路 268 字 节 ， 实 际 捕获 268 字 节 
Interface id: 0 # 接 口 id 
Encapsulation type: Ethernet (1) # 封 装 类 型 
Arrival Time: Jun 11，2014 09:12:18.469086000 中 国标 准时 间 

# 捕 获 日 期 和 时 间 


[Time shift for this packet: 0.000000000 seconds] 
Epoch Time: 1402449138.469086000 seconds 
[Time delta from previous captured frame: 0.025257000 seconds] 
坦 此 包 与 前 一 包 的 时 间 间 隔 
[Time since reference or first frame: 0.537138000 seconds] 


# 此 包 与 第 一 帧 的 时 间 间 隔 


“alls 


第 1 篇 “Wireshark 应 用 篇 


Frame Number: 5 # 帧 序号 
Frame Length: 268 bytes (2144 bits) # 帧 长 度 
Capture Length: 268 bytes (2144 bits) # 捕 获 长 度 


[Frame is marked: Falsel] 
[Frame is ignored: False] 


2. 数据 链 路 层 以 太 网 帧 头 部 信息 


Ethernet 下 下 5 


SrC: Giga-Byt c8:4c:89 


“p=uinki fo Secaco (cua 3 fc 0) 
Destination: Tp-LinkT f9:3c:c0 (6c:e8:73:f9:3c:c0) 


Source: Giga-Byt c8:4c:89 (lc:6f:65:c8:4c:89) 
Type: IP (0x0800) 


3. 互联 网 层 IP 包 头 部 信息 


Internet Protocol Version 4, Src: 


192.168.0.104 


61.182.140.146 (61.182.140.146) 


# 此 帧 是 否 做 了 标记 : 否 
# 此 帧 是 否 被 忽略 ， 否 


[Protocols in frame: eth:ip:tcp:http] # 帧 内 封装 的 协议 层次 结构 

[Number of per-protocol-data: 2] 

[Hypertext Transfer Protocol, key 0] 

[Transmission Control Protocol, key 0] 

[Coloring Rule Name: HTTP] # 着 色 标 记 的 协议 名 称 
[Coloring Rule String: http || tcp.port == 80] # 着 色 规 则 显示 的 字符 串 


(Lea6F:658cC0rAc: 289) Dst: 


目标 MAC 地 址 
# 源 MAC 地 址 


(L925E68 205104)r ‘Dots 


Version: 4 # 互 联网 协议 IPv4 
Header length: 20 bytes #IP 包头 部 长 度 
Differentiated Services Field: 0x00 (DSCP 0x00: Default; ECN: 0x00: 

Not-ECT (Not ECN-Capable Transport)) # 差 分 服务 字段 
Total Length: 254 #IP 包 的 总 长 度 
Identification: 0x5bb5 (23477) # 标 志 字 段 
Flags: 0x02 (Don't Fragment) # 标 记 字段 
Fragment offset: 0 # 分 的 偏 移 量 
Time to live: 64 # 生 存 期 TTL 
Protocol: TCP (6) # 此 包 内 封装 的 上 层 协议 为 TCP 
Header checksum: 0x52ec [validation disabled] # 头 部 数据 的 校 验 和 
Source: 192.168.0.104 (192.168.0.104) # 源 IP 地 址 
Destination: 61.182.140.146 (61.182.140.146) # 目 标 IP 地 址 


4. 传输 层 TCP 数 据 段 头 部 信息 


Transmission Control Protocol，Src Port: 51833 (51833), Dst Port: http (80) ， 
Seq: 1, Ack: 1, Len: 214 
Source port: 51833 (51833) 


Destination port: http (80) 

Sequence number: 1 (relative sequence number) 
[Next sequence number: 215 
Acknowledgment number: 1 
Header length: 20 bytes 
Flags: 0x018 (PSH, ACK) 
Window size value: 64800 
Checksum: 0x677e [validation disabled] 


(relative ack number) 


# 源 端口 号 
目标 端口 号 
# 序 列 号 (相对 序列 号 》 


(relative sequence number) ] # 下 一 个 序列 号 


埋 确 认 序列 号 

# 头 部 长 度 

#TCP 标记 字段 

# 流 量 控 制 的 窗口 大 小 
#TCP 数据 段 的 校 验 和 
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1.5 ”捕获 HTTP 包 


在 网 络 中 ， 所 有 数据 的 通信 都 是 基于 TCP/IP 协议 的 。HTTP 也 是 TCP/IP 协议 中 的 一 
种 ， 而 且 该 类 数据 包 也 是 用 户 通常 最 关注 的 。 本 节 将 介绍 捕获 HTTP 包 的 一 个 过 程 。 

捕获 HTTP 包 的 实验 环境 如 图 1.20 所 示 。 在 该 环境 中 , 包括 一 个 客户 机 、 两 个 交换 机 、 
一 个 标准 路 由 器 和 一 个 网 络 地 址 转换 路 由 器 和 服务 器 。 


MAC:B MAC:C MAC:D 
IP:192.168.0.2 IP:192.168.1.1 IP:192.168.1.2, 
© 


Router /NAT 


MAC:E 
IP:192.168.2.10 


Switch1 


MAC:G 
JP:192.168.0.3 


Www.benet. com 
MAC:F 
IP:74.125.224.143 


HTTP 


IP:192.168.0.1 
图 1.20 捕获 HITP 工作 流程 


(1) 所 有 设备 在 MAC 头 部 中 只 能 发 送 本 地 主机 的 硬件 地 址 。 这 个 MAC 头 部 将 沿 着 
第 一 个 路 由 器 的 线路 剥 去 ， 这 个 MAC 头 部 仅 临 时 使 用 ， 为 了 获取 包 的 下 一 跳 。 如 图 1.21 
所 示 ， 在 IP 头 部 中 ， 包 的 地 址 是 从 192.168.0.1 (客户 端 ) 到 74.125.224.143 〈 服 务 器 ) 。 

(2) 真实 的 交换 机 不 影响 数据 帧 的 内 容 。 交 换 机 1 将 简单 地 查看 目标 MAC 地 址 ， 为 
了 判断 主机 是 否 连接 在 交换 机 的 其 中 一 个 端口 上 。 当 交换 机 找到 与 MAC 地 址 B 关联 的 交 
换 端 口 时 ， 交 换 机 转发 数据 帧 到 适当 的 交换 端口 ， 如 图 1.22 所 示 。 

(3) 根据 数据 帧 的 接收 ， 经 过 检查 确保 数据 帧 不 是 恶意 的 ， 并 且 数 据 帧 是 路 由 器 的 
MAC 地 址 ， 路 由 器 除去 了 以 太 网 头 部 。 路 由 器 检查 数据 包 〈 现 在 被 认为 是 包 ， 不 是 帧 ) 
的 目标 他 地 址 , 并且 查询 它 的 路 由 表 找 出 如 何 处 理 该 数据 包 。 如 果 路 由 器 不 知道 怎样 得 到 
目标 卫 地 址 (发 送 的 数据 包 中 没有 默认 网 关 ) ， 该 路 由 器 将 丢弃 该 包 并 发 送 一 个 消息 返回 
给 发 送 者 。 这 表明 有 一 个 路 由 问题 。 用 户 能 使 用 Wireshark 捕获 这 些 错 误 消 息 ， 并 检查 哪 
个 路 由 器 不 能 够 将 数据 转发 到 目的 地 。 

如 果 路 由 器 有 请 求 转发 数据 包 的 消息 时 ， 了 P 头 部 的 TIL 〈 跳 数 ) 字段 值 将 减 1， 如 图 
1.23 所 示 。 并 且 应 用 新 的 以 太 网 报头 的 包 才 将 其 发 送 给 路 由 器 /NAT 设备 。 
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(4) 如 图 1.24 所 示 ， 这 个 路 


日 器 /NAT 设备 使 用 与 之 前 的 路 由 相同 的 过 程 转发 该 数据 


包 。 此 外 ， 路 由 器 /NAT 设备 改变 源 瑟 地 址 〈 网 络 地 址 转换 )》 和 源 端 口号 ， 同 时 注意 原始 


的 了 P 地 址 和 源 端口 号 。 这 个 路 由 器 /NAT 设备 将 这 些 信息 及 最 近 分 配 出 去 的 IP 地 址 和 端口 
号 结合 ， 如 图 1.25 所 示 。 
MAC:B 
IP:192.168.02 


Switch1 


MAC:A 
IP :192.168.0.1 


图 1.21 


MAC: From A->B 


IP: From 192.168.0.1->74.125.224.143 TTL: 64 


TCP Header 
GFT/ 


| Ethernet Trailer 


客户 端 查找 本 地 路 由 器 的 MAC 地 址 


MAC:B 
IP: 192.168.0.2 


IP: 192.168.0. 


图 1.22 


MAC: From A->B 

IP: From 192.168.0.1->74.125.224.143 TTL: 64 
TCP Header 

GET/ 

Ethernet Trailer 


1 


交换 机 查找 关联 的 端口 
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(5) 如 
改变 数据 帧 


MAC: C MAC: D 
IP: 192.168.1.1 IP: 192.168.1.2 


RouterNAT 


MAC: From C->D 


IP: From 192.168.1.1->74.125.224.143 TTL: 63 
TCP Header 


GET/ 


Ethernet Trailer 


图 1.23 路 由 器 转发 数据 


MAC: E 
IP: 192.168.2.1 


MAC: From E->F 


IP:From 192.168.2.1-> 74.125.224.143 TTL:6. 
@ TCP Header 

GET/ 

Ethernet Trailer 


Router/NAT 


Wwww.benet.com 
MAC:F 
IP: 74.125.224.143 


HTTP 


图 1.24 路 由 器 /NAT 设备 转发 数据 


NAT 了 映射 范围 192.168.1.1 一 192.168.1.100 MAC: E 
到 达 的 耳 地 址 : 192.168.0.1 IP: 192.168.2.10 


到 达 的 源 端口 : 1024 
映射 NAT 地 址 : 192.168.1.1 
出 去 的 源 端 口 : 2011 


Router/NAT 


图 1.25 路 由 器 /NAT 结合 卫 和 端口 信息 


图 1.26 所 示 ， 从 该 图 中 可 以 看 到 与 第 (4) 步 的 数据 帧 相同 。 因 为 交换 机 不 能 


的 内 容 。 


。15 。 
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MAC: E 
IP: 192.168.2.1 


MAC: From E>F 
IP: From 192.168.1.1->74.125.224.143 TTL :62 
TCP Header | 
GET/ | 
Ethemrmet Trailer 


RouterNAT 


www.benet.com 
MAC:F 
IP: 74.125.224.143 


HTTP 
图 1.26 交换 机 2 查找 匹配 的 交换 端口 


1.6 访问 Wireshark 资源 


在 Wireshark 中 可 以 通过 选择 Wiki Protocol Page 命令 ， 访 问 Wireshark 相关 的 信息 。 
用 户 也 可 以 添加 协议 或 程序 名 到 URL 中 ， 访 问 相 关联 的 协议 信息 。 本 节 将 介绍 访问 
Wireshak 资源 。 

启动 Wiki Protocol Page 页 面 ， 在 Packet Details 面板 中 右键 单 击 任何 协议 即 可 启动 。 
如 图 1.27 所 示 。 


A hp-googketol peapng Wiresark 1107 W1107-0-969311 fom mesterl100 ke 
Ei Ee Yew go ote by sorsocs Tephony Icok premas Hop 

则 向 厦 国 古 | 广 捕 其 四 | 人 中 半 国王 业 国 加 QQRDI 攻 国 昌 基部 
Fher: 站 bmeeson- Ceer wepy sae 
No Time Souree Decinaon ea length Time roe It 


1 0.000000000 Giga-Byt_0b:00:418roadcast 
20.490913000 。 192.168.0.104 61.182.140.146 


issss 
各 
下 
| 


四 sourcei Gig: 
Type: Ip (Ox0800) 

Internet protocol Version 4, src: 192.168.0.104 (1 
Version: 4 Appy See 


.535.69.140) | 


Header length: 20 bytes Pepa 3 Feer » 
a Differentiated Services Fie1d: 0x00 (DscP Ox00: 1 Cobree rah Fee -capable Tra 
Total Length: 165 


1dentification: Oxsbbd (23485) 
Flags: 0x02 (Don't Fragrent) 
Frageent offcet: 0 
Time to live 
“中 


Shon 


图 1.27 启动 Wiki Protocol Page 
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在 该 界面 单 击 Wiki Protocol Page 命令 ， 将 显示 如 图 1.28 所 示 的 界面 。 
A (eis 


Open Wireshark Wiki page of protocol "eth"? 

This wi open the“eth”rebted Wreshark Wii page in your 
‘Web browser. 

The Wreshark Wki 上 a cobboratve approach to provide 
information about Wreshark n several ways (not imted to 


protocol specfics). 

Ths Wi 5 new, 39 the poge of the solectad prtocnl may not 

‘exist and/or may not 

和 not eon edk the tn (or 
extend exsting), YOU are encouraged to add nformation Ff 


Hot 1: Jf you are new to wid editing, try out edtng the 
Sandbox frst! 
Hint 2: ¥f you want to add a new protocol page, ould 


Use the protocolTemplate, ed pe 
2nd wi owe 3 consstent bok over the Pages, 


Cox ] Ce 


图 1.28 打开 eth 协议 页 面 


该 界面 提示 是 否 要 打开 eth 协议 页 面 。 这 里 单 击 OK 按钮 ， 将 显示 如 图 1.29 所 示 的 
界面 。 


( “Ethernet - The wiresha  x 
© Dwikiwireshark.org/Ethernet?action=showa&redirect=Protocols%2F mH Yo 三 


人 量 录 搞 索 [#4 题 | LE 文 | | 
WI Ethernet 


FrontPage RecentChanges FindPage HelpContents | Emermet | 


加 从 "Protocolsleth" 页 重 定向 过 来 
清除 此 提示 信息 
只 澳 阿 页 信息 附件 | 更 多 操作 : 


Ethernet (IEEE 802.3) 


目录 
1. Ethemet (IEEE 8023) 
1 OveMew 
2. Packetformat 
1. Mlowed Packet Lengths 
2. NMAC address flelds 
3. Type /Length field 
4. Frame Check Sequence (FCS)field 
3. History 
4. Protocol dependencies 


图 1.29 eth 协议 页 面 


从 该 界面 可 以 看 到 ， 此 时 访问 的 是 Ethermet 协议 页 面 。 

Wireshark 的 创始 人 Gerald Combs 为 Wireshark 用 户 开 启 了 一 个 Q&A 的 论坛 ， 在 该 论 
坛 上 可 以 提问 或 回答 与 Wireshark 相关 的 问题 。 用 户 可 以 在 ask.wireshark.org 网 站 上 , 讨论 
与 Wireshark 相关 的 问题 。 但 是 在 该 网 站 提问 题 时 ， 必 须要 注册 一 个 免费 用 户 。 下 面 将 介 
绍 下 该 论坛 中 每 个 区 域 的 作用 。 

打开 ask.wireshark.org 网 站 ， 显 示 界 面 如 图 1.30 所 示 。 

在 该 界面 使 用 不 同 的 序号 ， 将 每 个 区 域 分 开 。 下 面 分 别 进行 介绍 。 

口 questions 选项 卡 : 单 击 questions 后 返回 所 有 问题 ， 如 图 1.29 所 示 。 

口 Tags 选项 卡 : 单 击 Tags 选项 卡 查看 Tags 相关 问题 的 列表 一 一 单 击 Tags 有 关 感 兴 


a 
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日. 百 日 蝇 


电 . 捍 理 


趣 的 话题 ， 看 是 否 有 有 帮助 的 信息 。 


a ee 


0 1 31 WIN64installation problem--:Nosuch fileor 
directory6: /cygdrive/c/Development/wireshark/tools/win-setup.sh 


Setopment | petem waten ms aoo rahemt +82k 
0 0 30 Tsharkisnot ableto display the capture-packet for VPN interface T7134 Questions 
Woe mm we | he 21 mn a00 gpert + 32k | 8372 answers 
0 0 5 Monitorpacket losses using Wireshark Sa 
os。 meme ee ede | senel | pcbetors TD [一 
You have a trillion packets. 
o WN 7 ee packets in Wireshark properly for 11c capture with You need to see four of them. 
i wm | oo A E2200 setup (Wireshark running on Win7) Riverbed Tochnowgr leta you 
Ce hour ao Suen 16 dotneen pocots 
and fows for 
53 how can we find the packet loss and time delay using wireshark emotng analysis and 
‘troubieshootng 
vs mm em wes 4 hou ogo tau 11 
| rendom connection Man riverhed ~ 
2 > 


图 1.30 Wireshark 论坛 


Users 选项 卡 : 单 击 Users 选项 卡 查 看 参与 问答 论坛 的 用 户 一 一 这 个 区 域 还 包括 他 
们 的 地 位 在 徽章 中 的 颜色 、 数 量 和 行政 地 位 〈 砖 石 ) 。 

Badges 选项 卡 : 查看 在 问题 解答 论坛 有 多 少 个 参与 者 参加 。 

Unanswered 选项 卡 : 查看 仍然 认为 是 悬 而 未 解决 的 问题 。 不 幸 的 是 ， 许 多 问答 参 
与 者 不 标记 问题 ， 即 使 他 们 已 经 “回答 ”。 

Ask a Question 选项 卡 : 提问 用 户 的 问题 。 如 果 在 这 里 没有 一 个 免费 的 账户 ， 问 题 
将 另存 为 你 创建 的 一 个 账号 ， 并 使 用 你 的 新 认证 信息 登录 。 

Search 按钮 : 搜索 用 户 感 兴趣 的 话题 。 

Vote 账户 : 论坛 用 户 可 以 投票 表决 的 问题 。 

Answer 账户 : 这 个 数字 表明 有 多 少 人 已 经 回答 了 一 个 问题 。 

View 账户 : 这 个 数字 表明 一 个 问题 已 经 被 负 监 的 次 数 。 这 个 可 以 用 来 确定 最 热门 
的 主题 。 

问题 标题 和 标签 : 单 击 问题 标题 跳 转 到 问题 页 面 。 该 标签 包括 有 问题 的 主题 。 
跳 转 按钮 : 单 击 任何 按钮 跳 转 到 活动 问题 的 列表 、 最 新 的 问题 或 投票 最 多 的 问题 。 
最 后 活跃 时 间 : 这 个 区 域 显示 一 个 问题 存在 多 长 时 间 ， 最 近 回答 问题 的 用 户 和 最 
后 回答 问题 的 用 户 。 回 答 问 题 的 用 户 信息 包括 业 力 级 别 和 它们 的 管理 层次 。 


1.7 Wireshark 快速 入 门 


当 用 户 成 功 地 在 系统 中 安装 好 Wireshark 后 ， 就 可 以 开始 熟悉 使 用 它 了 。 为 了 帮助 用 
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户 轻 松 掌握 Wireshark 的 使 用 ， 本 节 将 详细 介绍 Wireshark 的 入 门 知识 。 

【实例 1-3】 Wireshark 的 使 用 。 具 体操 作 步 又 如 下 所 示 。 

(1) 本 例 中 以 Windows 操作 系统 为 例 ， 介 绍 Wireshark 的 使 用 。 在 启动 菜单 栏 中 单 击 
Wireshark 图 标 ， 启 动 该 工具 ， 启 动 界面 如 图 1.31 所 示 。 如 果 已 经 有 捕获 好 的 文件 ， 单 击 
图 中 的 邵 (打开 文件 ) 按钮 ， 选 择 要 打开 的 捕获 文件 。 

The wireshark Network Analyzer [Wireshark 1.10.7 (v1.107-0-95b931al from master-110)] Ee 


Fe Ele Vew Go Capture Anavee Smatoves Telephory Took Intemab Hep 


goama[*s 所 和 四 于 和 | 加 圆 |@e 久 加 | 瑟 国 网 其 | 加 
一 = 


| Eapression- Clear Apply Save 


>The World's Most Popular Network Protocol Analyzer 
WIRESHARK Cveson i107 (i070geb931al er-1.10) 


TT 

Interface List 局 open 从 Website 

© belie opt receee opmapreveny ctund i Va the propets webs, 
emt 

Open Recent 

et 
Cera eer ron ratiomnion ts @ Sample Captures 

Vere evork Adopoar Vara A rich easortiment of eample capture fies on the wi @ Security 


加 | Werk wh Weeshark 
EO VMware Network Adapter VMnetl 


轿 Capture Options 


oa copiere wh dated option 


Capture Help 


@ Howto capture 
op by tap to succes rpture mvp 


a 
Ready to load or .. | No Packets Profle: Defauk 


图 1.31 Wireshark 主 界面 


(2) 在 该 界面 单 击 Interface List 命令 选择 接口 ， 如 图 1.32 所 示 。 用 户 也 可 以 在 该 界面 
Start 按钮 下 的 方 框 中 ， 选 择 接口 ， 然 后 单 击 Start 按钮 ， 将 开始 捕获 数据 。 


Devce Descrption 了 Packets packets/s 
回 PB VMware Network Adapter VMnet® VMware Vitual Ethemet Adapter fe80::70d1:314b:9a31:70fb 0 0 
回 四 本 地 过 接 Reakek RTLS139/810x Famky F..tNIC fe80::116:521c83b5:7a9c 0 [etais] 
加 碍 VMware Network Adapter VMnet1 VMware Vrtual Ethemet Adapter fe80::18d3:3b24:9fc9:9781 0 


问 多 | 本 地 连接 2 Reakek PCIe GBE Famiy Controler fe80::b8f6:ee8a:54fc:b228 34 


图 1.32 捕获 接口 列表 


(3) 从 该 界面 可 以 看 到 ， 共 有 4 个 接口 可 以 捕获 数据 。 这 里 选择 本 地 连接 ， 然 后 单 击 
Start 按钮 ， 将 显示 如 图 1.33 所 示 的 界面 。 

(4) 该 界面 显示 了 捕获 数据 的 过 程 。 如 果 要 停止 捕获 ， 单 击 加 (停止 捕获 ) 按钮 。 该 
界面 就 是 Wireshark 的 主 窗口 界面 ， 在 该 界面 可 以 对 数据 进行 各 种 操作 。 如 过 滤 、 统 计 、 
着 色 、 构 建 图 表 等 。 关 于 Wireshark 主 窗 口 界面 每 部 分 的 含义 ， 在 第 1.1.1 小 节 已 经 介绍 。 
下 面 将 分 别 依次 介绍 每 部 分 的 作用 。 
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JCoptuingfrom 本 地 连 雪 Wireshark1107 il07-0-g6b93lalfiommasterll0] 。 


Ee Et Vew Go Capture Anayie Statetcs Telephony Toos lntemas Heb 
O80d| 人 XDA 人 OFT | 国 同 QQQaAD 四 罗 关 | 加 


Filter: 口 Eeeaaiaa Cleer ApPY Seve 

INo. Time Source Destination Protocol Length Info | 
15 6.764602000 Giga-Byt_00:7a:c8 Broadcast 60 who has 192.168.0.1? Tell 192.168. 
16 6.940639000 Giga-Byt_17:d7:9a Broadcast 60 who has 192.168.0.102? Tell 192.16 


22 7.979592000 fe80::81b4:e92f:dall ff02::c 


nn 
E 
: 
: 


Hd ff02:: 
102 239. 255. 255.， 2 
26 10.459472000 fe80: :84e1:a4a0:94a3 ff02:: SSDP 
27 10.459733000 192.168.0.102 239.255.255. -一 - 165 M-SEARCH * HTTP/1.1 


4 下 


田 Frame 1: 208 bytes on wire (1664 bits), 208 bytes | (1664 bits) on interface 0 

Ethernet II, Src: Quantaco_dl:15:ab (e8:9a:8f:d1:15:ab), Dst: IPv6mcast_00:00:00:0c (33:33:00:00:00:0c| 
® Internet Protocol Version 6, Src: fe80::84e1:a4a0:94a3:b3a6 (fe80::84e1l:a4a0:94a3:b3a6), Dst: ff02::C 
田 User Datagram Protocol, Src Port: 56130 (56130), Dst Port: ssdp (1900) 

国 


ARCH * HTTP/1. 

Sb 46 46 30 32 3a 3a 43 1..Host: [FFO02::C 

75 74 69 6f a 20 50 72 6f 74 hf 63 hf fc 3a 20 urinn pr _ orocol: 
DR <lve cap | Packets: 27 * Displayed: 27 (10¢ | Profie: Defaukt 


图 1.33 ”捕获 数据 过 程 


1. 菜单 栏 
Wireshark 的 菜单 栏 界 面 如 图 1.34 所 示 。 在 该 界面 中 被 涂 掉 的 两 个 菜单 ， 在 工具 栏 中 


进行 介绍 。 


I httppcapng [Wireshark 1107 (vL107-0-g65b931al from masterl10 
[& eee yew OW Wlre ave setsvcs Telephony Toos Intemas Hep | 


图 1.34 菜单 栏 


该 菜单 栏 中 每 个 按钮 的 作用 如 下 所 示 。 

口 File: 打开 文件 集 、 保 存 包 、 导 出 HTTP 对 象 。 

口 Edit: 清除 所 有 标记 的 包 、 忽 略 包 和 时 间 属 性 。 

口 View: 查看 /隐藏 工具 栏 和 面板 、 编 辑 Time 列 、 重 设 颜色 。 
口 Analyze: 创建 显示 过 滤器 宏 、 查 看 启用 协议 、 保 存 关 注解 码 。 
口 Statistics: 构建 图 表 并 打开 各 种 协议 统计 窗口 。 
口 Telephony: 执行 所 有 语音 功能 〈 图 表 、 图 形 、 回 放 ) 。 
口 Tools: 根据 包 内 容 构 建 防火 墙 规则 、 访 问 Lua 脚本 工具 。 
口 Internals: 查看 解析 器 表 和 支持 协议 的 列表 。 
口 Help: 学 习 Wireshark 全 球 存储 和 个 人 配置 文件 。 
这 


. 工具 栏 
当 用 户 详 细 了 解 工具 栏 中 每 个 按钮 的 作用 后 ， 用 户 就 可 以 快速 地 进行 各 种 操作 。 在 工 


具 栏 中 ， 每 个 按钮 的 作用 如 图 1.35 所 示 。 
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eel 


通 http.pcapng [Wireshark 1.10.7 (v1.107-0-g6b931al from master-1.10)] 
Ele Edt View Go Capture Anayze Statistics Telephony Ioos Internas Help 


癸 @ 到 巨人 XX 多 | 名 TF | 国 国 QQQH| 钙 田 昌 关 | 加 


接口 列表 打开 文件 查找 包 着 色 放大 过 滤器 | 帮助 | 
保存 文件 向 前 查找 自动 演 屏 上】 总 太 || 一 和 这 让 二 | 部 
关闭 文件 向 后 查找 设置 为 100%|| 着 色 规 则 
重 加 载 文 件 查找 指定 的 包 调整 列 首选 项 


跳 到 第 一 个 包 


跳 到 最 后 一 个 包 


图 1.35 工具 栏 


当 用 户 面 对 大 量 需 要 处 理 的 数据 时 ， 可 以 通过 使 用 显示 过 滤器 快速 地 过 滤 自 己 需要 的 


数据 。 在 显示 过 滤器 区 域 中 的 每 部 分 作用 如 图 1.36 所 示 。 


是 http,pcapng [Wireshark 1.10.7 (v1.10.7-0-96b931al from master-1.10)] Ee] 
Ele Edt View Go Capture Anayze Statistics Telephony Tools Intemaks Hep 
日 昌 表 山下 | 记 国 光 久 | 反 外 中 国定 二 QQGDOI 可 国 册 其 | 加 


[= | Brpression.. Clear Apply Save 


Filter: 


管理 过 滤器 显示 过 滤 区 域 过 清除 过 滤器 创建 过 滤器 按钮 


图 1.36 显示 过 滤器 区 域 


4. Wireshark 面 板 


过 滤 表 达 式 按钮 区 域 


Wireshark 有 3 个 面板 ， 分 别 是 Packet List 面板 、Packet Details 面板 和 Packet Bytes 面 


板 。 这 3 个 面板 的 位 置 ， 如 图 1.37 所 示 。 


‘ @ happcapna Wreshark L107 (vi107-0-95b931el from master 110)] 
Ele Ed Yew Go oture Anohze Seatatics Tekphony Ioc ntemas Heb 
oad eroT 寺 二 国 Aaaag 四 # | 
EE | co sppy sa 

ratocal Lergeh irto 
Ag 


ey 


No. Te See 
工 0.000000000 Giga-Byt_0b:00:4f 


326 rrp 
60 51833 > htrp [Ack] Seq-21 - 


本 Frame 7: 66 bytes on -aptured (328 bits) on ncerface 0 
3 Ethernet IT，Src: oi 89) ， Linkr f9.3c ,co 《6c 


Giga-t 
3 Internet protocol Version 4, rc: 192.165.0.104 (192.1: 


|® HPar (are) EC Packets: 401 -Delved GOOC | Profies De 


图 1.37 Wireshark 面板 
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在 该 界面 将 3 个 面板 已 经 标 出 。 这 3 个 面板 之 间 是 互相 关联 的 ， 如 果 希 望 在 Packet 
Details 面板 中 查看 一 个 单独 的 数据 包 的 具体 内 容 ， 必 须 在 Packet List 面板 中 单 击 选 中 那个 
数据 包 。 选 中 该 数据 包 之 后 ， 才 可 以 通过 在 Packet Details 面板 中 选择 数据 包 的 某 个 字段 进 
行 分 析 ， 从 而 在 Packet Bytes 面板 中 查看 相应 字段 的 字 节 信息 。 

下 面 介 绍 每 个 面板 的 内 容 。 

Packet List 面板 : 该 面板 用 表格 的 形式 显示 了 当前 捕获 文件 中 的 所 有 数据 包 。 从 图 1.37 
可 以 看 到 该 面板 中 共有 7 列 ， 每 列 内 容 如 下 所 示 。 

No (Number) 列 : 包 的 编号 。 该 编号 不 会 发 生 改变 ， 即 使 使 用 了 过 滤 也 同样 如 此 。 
Time 列 : 包 的 时 间 戳 。 时 间 格 式 可 以 自己 设置 。 

Source 和 Destination 列 : 显示 包 的 源 地 址 和 目标 地 址 。 

Protocol 列 : 显示 包 的 协议 类 型 。 

Length 列 : 显示 包 的 长 度 。 

Info 列 : 显示 包 的 附加 信息 。 

在 该 面板 中 ， 可 以 对 面板 中 的 列 进行 排序 、 调 整 列 位 置 、 隐 藏 列 、 显 示 列 、 重 命名 或 
删除 列 等 操作 。 下 面 以 例子 的 形式 分 别 介 绍 在 该 面板 中 可 操作 的 功能 。 

【实例 1-4】 演示 Packet List 面板 中 可 实现 的 功能 。 如 下 所 示 。 


1. 列 排序 
打开 一 个 捕获 文件 http pcapng， 如 图 1.38 所 示 。 


属 htp pcapng [Wireshark 1107 (v1107-0-g6b931a1 fom master-1.10)] [GE 


二 


DOOODODD 


Ee Edt Vew Go Capture Anayze Statstxs Telephony Ioos Intemas Hep 
oO@aAn0AlDDAOKSA+ 人 中 OFT | 国 Qaaao » 
Fikter: 口 Expression.. Clear Apply Save 
No Time Source Destination protocol Length info <^ 
2 0.4 .3000 .168.0.1' 61.182.140.146 TCP 66 51833 > 
30.511868000 61.182.140.146 192.168.0.104 TCP 60 http > 51833 
4 0.511881000 192.168.0.104 61.182.140.146 TCP 60 51833 > http 
5 0.537138000 192.168.0.104 61.182.140.146 HTTP 268 GET /pc/9qqc1i | 
60.562387000 61.182.140.146 192.168.0.104 TCP 50 http > 51833 
7 0. 562397000 61.182.140.146 192.168.0.104 HTTP 364 HTTP/1.1 200 
8 0. 562400000 61.182.140.146 192.168.0.104 HTTP 326 Continuation 
90.562401000 192.168.0.104 61,182.140.146 TCP 60 51833 > hrtp 
10 0.562653000 192.168.0.104 61.182.140.146 TCP 60 51833 > http 
11 0.583167000 三 > 192.168.0.104 TCP 60 http > 51833 
12 0.583182000 站 TP 


图 1.38 http.pcapng 捕获 文件 


该 界面 显示 了 http pcapng 捕获 文件 中 的 数据 包 。 默 认 Wireshark 是 按 数据 包 编号 由 低 
到 高 排序 。 例 如 ， 要 对 Protocol 列 排序 ， 单 击 Protocol 列 标题 ， 将 显示 如 图 1.39 所 示 的 界面 。 

将 该 界面 与 图 1.38 进行 比较 ， 可 以 发 现 有 很 大 变化 。 从 该 界面 可 以 看 到 No 列 的 顺序 
发 生 了 变化 ， 协 议 列 开始 都 为 ARP。 


2. 移动 列 位 置 


如 移动 http.pcapng 捕获 文件 中 的 Protocol 列 ， 到 Time 后 面 。 使 用 鼠标 选择 Protocol 
列 ， 然 后 拖 忠 该 列 到 Time 后 面 ， 将 显示 如 图 1.40 所 示 的 界面 。 


宇和 
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httppeapng Wireshark 1107 wL107-0-g6b93lal fom masterll0l lee 
He Edt Vew Go Capture Anayze Statstics Telephony Toos Intemas Hebp 
站 轿 在 硬 荐 | 巴 旬 X 色 | 六 9 光 呈 了 各 | 四 加 eeDl > 


86 7.732377000 


Fher [= ] smessen- GIAPPY ERNE 

No Time Source Destination Protoc ~ Length Info < 
工 0.000000000 Giga-8yt_0b:00:4f Broadcast ARP 60 who has 192.1 
32 2.692377000 Giga-8yt-9d:e7:48 Broadcast ~ ARP 60 who has 192.1 
73 3.414322000 : ARP 60 who has 192.1 
76 4.130242000 ARP 50 who has 192.] 
77 4.179061000 ARP 60 who has 192.1 
78 4.179653000 ARP 60 who has 192.1 
79 5.130248000 ARP 60 who has 192. 
80 5. 383040000 ARP 60 who has 192.1 
83 7- 639937000 ARP 60 Gratuitous AF 
84 7..668975000 ARP 60 who has 192.1 
85 7.732145000 ARP 60 who has 192.1 


图 1.39 排序 Protocol 列 


httppcapng [Wireshark 1107 (v1107-0-g6b931al from master110] [=lS 


Ele Edt Vew Go Capture Anayze Statstics Telephony Ioos Intemas Hep 
本 @@ 大 厦大 | 马 钙 X 色 | 人 9 四 李 生 | 国 加 QQ 


TR 
图 1.40 移动 Protocol 列 
3. 隐藏 、 显 示 、 重 命名 、 删 除 列 


在 捕获 文件 http.pacpng 中 ， 右 键 单 击 操作 的 列 标题 (如 隐藏 Length 列 ) ， 将 弹出 一 
个 下 拉 菜 单 ， 如 图 1.41 所 示 。 


i 
lee@amadSeaxSa* 人 OFT 国 Qaaanl BB > 
[>] erpression.. Clear Apply Save 


图 1.41 列 操作 选项 


在 弹出 的 菜单 中 选择 Hide Column 选项 。 在 该 菜单 中 可 以 选择 Edit Column Details、 
Displayed Columns 和 Remove Column 选项 ， 分 别 做 重 命名 、 显 示 列 和 删除 列 操作 。 

在 Wireshark 中 ， 还 可 以 对 Packet List 面板 中 所 有 数据 包 进 行 许多 操作 。 如 应 用 过 滤 
器 、 着 色 、 重 发 数据 等 。 用 户 可 以 通过 右键 单 击 任何 一 个 数据 包 ， 查 看 可 用 的 选项 ， 如 图 
1.42 所 示 。 


半 对 入 省 


第 1 篇 ”Wireshark 应 用 篇 


665 > FEEP [sw] 
§ Ignore Packet (toggle) ‘60 hcrp > 51833 [syn, ,| 
192.1 © Set Tme Reference (toggle) 下 | 


61.185 

加 Packet Comment... 
61.18 Manualy Resoke Address 
192.: 


有 

Frame 1: 60 bytes on 

日 ECherner II, Src: Gig 。 Folow TO Suem 

@ Address Resolution Pr Folow UDP Stresm 
| Fw sst Steam 


图 1.42 可 用 选项 


在 该 界面 显示 了 在 Packet List 面板 中 ， 数 据 包 的 可 用 选项 。 在 该 选项 中 ， 使 用 着 色 功 
能 可 以 快速 地 找 出 有 问题 的 数据 包 。 用 户 可 以 改变 或 创建 额外 的 着 色 规 则 ， 提 醒 出 现 不 正 
常 的 数据 。 

Packet Details 面板 : 该 面板 分 层次 地 显示 了 一 个 数据 包 中 的 内 容 ， 并 且 可 以 通过 展开 
或 收缩 来 显示 这 个 数据 包 中 所 捕获 到 的 全 部 内 容 。 

在 Packet Details 面板 中 ， 默 认 显示 的 数据 的 详细 信息 都 是 合并 的 。 如 果 要 查看 ， 可 以 
单 击 每 行 前 面 的 + 号 展开 帧 的 会 话 。 用 户 也 可 以 选择 其 中 一 行 并 单 击 右 键 ， 在 弹出 的 菜单 
中 选择 Expand All 或 Expand Subtrees 展开 所 有 会 话 或 单个 会 话 。 展 开 帧 会 话 ， 如 图 1.43 
所 示 。 


hppcapng Wireshatk1107 wl107-0-g6b93lalfom masterllil 【ele 
Ele Edt Vew Go Gapture Anayze Statsts Telephony Joos Intemas Hep 
个 辐 关 本 大 | 四 外 其 人 | 六， 中国 下 业 | 轩 加 QDII 本 四则 > 


Fer | 回 Epresson- cear Appy Save 

INo. Time Source Destination Protocol Length Info < 
1 0. 000000000 Giga-Byt_0b:00:4f Broadcast ARP 60 who has 192.168.0.1113 ~ 

a ， 


Expand Subtrees 

| end Expand AI 
Arn 。 Cobpse AI 8000 国 国 田 国 田 一 
加 Appl 3s Cobrm seconds] 
IT; Appk as Fiter » 000000000 seconds] 
[Ti preparea Fiter » FE: 0.000000000 >econds] 
[ry coeree wh Pker » boooooooo seconds] 
Fr 


Fra Folow TCP Stream 
co 
[Fd Folow SSL Stream 
oe Copy 
[ed Export Selected Packet 3ytes... 


[cc @ wii ptocolpaoe 
eM 
中 se aaard © Pier Fad Reference 
| 


Protoccl Hep 


34:0b:00:4f), Dst: Broadcast (ff:ff:ff:ff:ff: 


Protoccl preferences 上 


| 

3888 畏 吕 Decode As.. 

jo020 昌 更 Dissble Protocol.. 

| Resove Name 

| | Goto Corespondng Packet 

IO MF Show packet Reference n New Wndow 


图 1.43 展开 单个 会 话 
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从 该 界面 可 以 看 到 帧 会 话 被 展开 了 。 如 果 要 展开 所 有 ， 则 在 该 菜单 中 选择 Expand All 
选项 。 

Packet Bytes 面板 : 该 面板 中 的 内 容 可 能 是 最 令 人 困惑 的 。 因 为 它 显示 了 一 个 数据 包 未 
经 处 理 的 原始 样子 ， 也 就 是 其 在 链 路 上 传播 时 的 样子 。 

在 该 面板 中 的 数据 是 以 十 六 进 制 和 ASCII 格式 显示 了 帧 的 内 容 。 当 在 Packet Details 
面板 中 选择 任意 一 个 字段 后 ， 在 Packet Bytes 面板 中 包含 该 字段 的 字 节 也 高 亮 显 示 。 如 果 
不 想 看 到 Packet Bytes 面板 的 话 ， 可 以 在 菜单 栏 中 依次 选择 View|Packet Bytes 命令 将 其 关 
闭 。 当 查看 的 时 候 ， 使 用 同样 的 方法 将 其 打开 。 


4. 状态 栏 


状态 栏 是 由 两 个 按钮 和 三 列 组 成 的 。 其 中 ， 这 三 列 的 大 小 在 必要 时 可 以 调整 。 状 态 栏 
中 每 部 分 含义 如 图 1.44 所 示 。 


回 一 | Fle: "D:\traces\dns.pcapng" 913 kB 00:00:12 | Packets: 1772 * Displayed: 1772 (100.0%) * Load time: 0:00.140 | Profile: Defauk | 


“注释 ”按钮 


获取 字段 、 捕 获 或 捕获 文件 信息 


图 1.44 ”状态 栏 


下 面 分 别 详细 介绍 状态 栏 中 每 部 分 的 作用 ， 如 下 所 示 。 

口 稀 : 该 按钮 是 “专家 信息 ”按钮 。 该 按钮 的 颜色 是 为 了 显示 包含 在 专家 信息 窗口 
中 最 高 水 平 的 信息 。 专 家 信息 窗口 可 以 提醒 用 户 ， 在 捕获 文件 中 的 网 络 问题 和 数 
据 包 的 注释 。 

口 断 : 该 按钮 是 捕获 文件 “注释 ”按钮 。 单 击 该 按钮 ， 可 以 添加 、 编 辑 或 查看 一 个 
捕获 文件 的 注释 。 该 功能 只 可 以 在 以 .pcapng 格式 保存 的 捕获 文件 中 使 用 。 

口 第 一 列 (获取 字段 、 捕 获 或 捕获 文件 信息 ) : 当 在 捕获 文件 中 选择 某 个 字段 时 ， 
在 状态 栏 中 将 可 以 看 到 文件 名 和 列 大 小 。 如 果 单 击 Packet Bytes 面板 中 的 一 个 字 
段 ， 将 在 状态 栏 中 显示 其 字段 名 ， 并 且 Packet Details 面板 也 在 发 生 着 变化 。 

口 第 二 列 〈 包 数 ) : 当 打开 一 个 捕获 文件 时 ， 在 状态 栏 中 的 第 二 列 将 显示 该 文件 的 
总 包 数 。 在 图 1.44 中 ， 显 示 了 捕获 的 数据 包 数 量 、 显 示 包 数 和 加 载 时 间 。 如 果 当 
前 捕获 文件 中 有 包 被 标记 ， 则 状态 栏 中 将 会 出 现 标记 包 数 。 

口 第 三 列 (当前 使 用 的 Profile) : 表示 当前 使 用 的 Profile。 在 图 1.44 中 ， 表 示 正 在 
使 用 Default Profile。Profiles 可 以 创建 ， 这 样 就 可 以 自己 定制 Wireshark 的 环境 。 


1.8 分 析 网 络 数据 


在 Wireshark 中 的 数据 包 ， 都 可 以 称 为 是 网 络 数据 。 每 个 网 络 都 有 许多 不 同 的 应 用 程 
序 和 不 同 的 网 络 数据 。 但 是 一 些 常见 的 包 中 , 通常 都 会 包括 一 些 登 录 程 序 和 网 络 浏览 会 话 。 
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本 节 将 介绍 分 析 网 络 数据 的 方法 。 
1.8.1 分 析 Web 浏览 数据 


通常 在 访问 Web 服务 器 过 程 中 ， 会 涉及 到 DNS、TCP 和 HTTP 3 种 协议 。 由 于 此 过 
程 中 来 回 发 送 的 数据 包 较 为 复杂 ， 所 以 下 面 将 介绍 分 析 Web 浏览 数据 。 

【实例 1-5】 分 析 访 问 Web 浏览 数据 。 上 具体 操作 步骤 如 下 所 示 。 

(1) 捕获 访问 www.baidu.com 网 站 的 数据 包 ,， 并 保存 该 文件 名 为 http-wireshar pcapng。 
本 例 中 捕获 的 文件 如 图 1.45 所 示 。 
属 htp-wiresharkcpcapng [Wireshark 1107 (v1.10.7-0-g6b931a1 from master-110] 


Ele Edt Vew Go Capture Anayze Statstics Telephony IToos Intemas Hep 
四 加 大 本 近 | 巴 外 多 | 尽 9 字 四 守业 QQQI 醒 加 » 


Fer [=] expression.. cear Appy Save 
No. ~ Time Source Destination ^ 


32 3. 683889000 0.1 .168.0.1 132 St query respons 
33 4.025965000 192.168.0.109 192.168.0.1 DNS 78 standard query Oxc7b4 
34 4.026182000 192.168.0.109 192.168.0.1 DNS 75 Standard query Oxef69 
35 4.026433000 192.168.0.109 192.168.0.1 DNS 80 standard query Oxd7c1 


36 4.026571000 192.168.0.109 61.135.169.125 TCP 62 7289 > http [SYN] Seq™ 
37 4.026796000 192.168.0.109 192.168.0.1 DNS 72 Standard query Ox161a 
38 4.026893000 192.168.0.109 192.168.0.1 DNS 72 Standard query Ox30c0 

DNS 

DNS 

DNS 


39 4.028228000 192.168.0.1 192.168.0.109 122 Standard query respons 

40 4.028487000 192.168.0.1 192.168.0.109 130 Standard query respons 

41 4.028714000 192.168.0.109 192.168.0.1 75 Standard query Ox92cc 

42 4.028847000 192.168.0.109 123.125.114.101 TCP 66 7290 > http [SYN] Seq= ™ 
LD | 上 
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图 1.45 http-wireshar pcapng 捕获 文件 


(2) 接 下 来 通过 该 捕获 文件 中 的 数据 ， 分 析 访 问 Web 的 整个 过 程 。 在 该 捕获 过 程 中 ， 
将 包含 DNS 请 求 、 响 应 和 TCP 三 次 握手 等 数据 。 如 图 1.46 所 示 ， 在 该 界面 显示 了 在 访问 
网 站 之 间 的 DNS 解析 过 程 。 
属 http-wiresharkpcapng [wireshark 1107 (v110.7-0-g6b93lalfrommaster110] 


Ee ER Vew Go Cpture AnaVie Statstcs Telephony Toog Intemab Heg 
OOSSlAP 人 OF | 国 昌 QAQQOI 芒 国 罗 关 | 加 


Fter: [=) bpresson- COT ADEN TS 

No. < Time Source Destination Protocol Length Info - 
32 3. 683889000 192.168.0.1 192.168. 0.109 132 Standard query response Ox327b 
33 4.025965000 192.168.0.109 192.168.0.1 78 Standard query Oxc7b4 A passpor | 
34 4.026182000 192.168.0.109 192.168.0.1 75 Standard query Oxef69 A sl1.bds! 
35 4.026433000 192.168.0.109 192.168.0.1 


36 4.026571000 192.168.0.109 61.135.169.125 
37 4.026796000 192.168.0.109 192.168.0.1 72 standard query Oxi61a A i7.baic 
38 4.026893000 192.168.0.109 192.168.0.1 72 Standard query Ox30c0 A i8.baic 
39 4.028228000 192.168.0.1 192.168.0.109 DNS 122 standard query response Oxef69 

40 4.028487000 NT 192.168.0.109 DNS 130 standard query response 0Oxd7ct， 


DNS 
DNS 
DNS 
DNS 80 standard query 0xd7c1 A suggest 
Tp 627289 > http [SYN] Seq=0 win=819; 
DNS 
DNS 


4 
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图 1.46 DNS 解析 


(3) 在 该 界面 31 帧 ， 是 DNS 将 www.baidu.com 解析 为 一 个 IP 地 址 的 数据 包 〈 被 称 
为 一 个 “A” 记 录 ) 。32 帧 表示 返回 一 个 与 主机 名 相关 的 瑟 地 址 的 DNS 响应 包 。 如 果 客 
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户 端 支持 IPv4 和 IPv6， 在 该 界面 将 会 看 到 查找 一 个 IPv6 地 址 〈 被 称 为 “AAAA” 记 录 ) 。 
此 时 ，DNS 服务 器 将 响应 一 个 IPv6 地 址 或 混杂 的 信息 。 
(4) 如 图 1.47 所 示 ， 在 该 界面 看 客户 端 和 服务 器 之 间 TCP 三 次 握手 (36、63、64 帧 ) 
和 客户 端 请 求 的 GET 主页 面 (65 帧 ) 。 然 后 服务 器 收 到 请 求 〈74 帧 ， 并 发 送 响 应 包 (75 
帧 ) 。 此 时 ， 服 务 器 将 发 送 主页 面 给 客户 端 (77 帧 ) 。 
帮 http-wiresharkpcapng [Wireshark 1107 (v1107-0-g6b93lalfrommasterl10] ere 


He Edt Vew Go Capture Anayze Statstics Telephony Toos Intemas Hep 
外加 大 本 厦 | 巴 外 其 包间 中 国 本 各 | 图 目 |QQQDI 本 四 思 基 | 四 


rr 


Protocol Length info 2 


I© W | Fie: "D:\traces\http-wreshark.pcapng” 0 by... | Packets: 3056 * Displayed: 2936 (96.1%) * Dropped: 0 (0.0%) * Loa... | Profile: Defauk 


图 1.47 TCP 三 次 握手 


(5) 当 客 户 端 从 相同 的 服务 器 上 再 次 请 求 访问 另 一 个 链接 时 ， 将 会 再 次 看 到 一 个 GET 
数据 包 (100 帧 )》， 如 图 1.48 所 示 。 
I http-wireshark pcapng [Wireshark 1107 (vL107-0-g6b93lalfrom masterll0 


Ee Edt Vew Go Capture Anayre Statstcs Telephony Joos Intemas Hep 
CR 


es 


INo. Time Source Destination Protocol Length info 辐 


4 
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图 1.48 ”请求 男 一 个 元 素 
此 外 , 如 果 链 接 另 一 个 Web 站 点 时 , 客户 端 将 再 次 对 下 一 个 站 点 进行 DNS 查询 (166、 
167、168、169、170 帧 ) ， 如 图 1.49 所 示 。 
http-wireshark pcapng IWireshark 1107 wL107-0-96b93lalfommaserlii 巴 王 屋 哥 


Ee Edt Vew Go Capture Anayze Statstcs Telephony TIoos jntemas Hep 
OMAMASOXS 人 A 中 OFT QQ 可 国电 %| 加 


167 7. 32851 .168. St: query Oxlc 
168 7. 328666000 192.168. 73 Standard query Oxlac8 


1 加 

109 92.168.0.1 DNS img. b; 

169 7. 328890000 192.168.0.109 192.168.0.1 DNS 80 Standard query Oxlbfd A image. 
170 7. 328907000 192.168.0.109 192.168.0.1 ONS 74 Standard query Ox25b2 A m.tiel 
171 7.329237000 ~ Giga-Byt_9d:e7:48 Broadcast ARP 60 who has 192.168.0.107? Tell 1 
1727 Giga-Byt_0b:00:4f Broadcast ARP 60 who has 192.168.0.3? Te11 192. 
173 7. 330550000 192.168.0.1 192.168.0.109 ONS 166 Standard query response 0xffld 
174 7.330868000 192.168.0.1 192.168.0.109 ONS 120 standard query response Oxlca2 
175 7. 330868000 192.168.0.1 192.168.0.109 DNS 181 standard query response Oxlbfd 
176 7.330868000 192.168.0.1 192.168.0.109 DNS 135 Standard query response Oxlac8 


‘ » 
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图 1.49 请 求 下 一 个 站 点 
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1.8.2 分 析 后 台数 据 


后 台数 据 是 由 操作 系统 运行 自动 产生 的 。 在 后 台数 据 中 可 以 查看 到 ，Java 查找 更 新 、 
病毒 检测 工具 查找 更 新 或 Dropbox 检查 等 。 如 果 对 后 台数 据 很 熟悉 的 话 ， 诊 断 网 络 问题 时 
就 不 用 浪费 时 间 在 这 些 后 台 程 序 上 了 。 下 面 将 介绍 如 何 分 析 后 台数 据 。 

【实例 1-6】 捕获 并 分 析 Windows 7 中 的 后 台数 据 。 具 体操 作 步 又 如 下 所 示 。 

(1) 除 Wireshark 之 外 ， 将 Windows 7 中 运行 的 所 有 程序 都 关闭 。 

(2) 在 Wireshark 的 工具 栏 中 单 击 加 (选择 捕获 接口 ) 按钮 ， 如 图 1.50 所 示 。 


Ml wireshark Capture Interfaces EE [本 | 


Devics Desaiption Pp Packets packets/s 
国 四 地 biE 接 IntekR) PRO/1000 MT Network Connection fe80:95c2:84b3:blfe:7828 1 1 lBeteits| 


Hell Start Siop Qptions | 


图 1.50 选择 捕获 接口 
(3) 在 该 界面 选择 捕获 接口 ， 然 后 单 击 Start 按钮 。 人 


oaceoroundpeapng Wioehare Lin7 wLIOTGSebaalatfom resertiml - 吧 
Be Edt Yew Go Cotre Maie SHIG Teeohory Tcob ptemab beb 
emaAlA EO 和 SI 小国 日 QQAQ 和 OIE 加 
Fer 


Tim 


12 183.999360197.168.0.1 = 192-168.0.110 
5 


图 1.51 捕获 的 后 台 程 序 


(4) 等 待 Wireshark 捕获 几 分 钟 后 ， 单 击 Stop Capture 按钮 停止 捕获 。 

(5) 如 果 要 保存 捕获 的 文件 ， 在 工具 栏 中 单 击 Save 按钮 ， 指 定 保 存 的 位 置 和 文件 名 。 
这 里 将 该 文件 保存 为 background.pcapng。 

(6) 现在 分 析 background.pcapng 捕获 文件 中 的 后 台数 据 ， 如 下 所 示 。 

在 该 捕获 文件 中 可 以 看 到 第 1 一 4 帧 是 DNS 数据 包 。 其 中 , 1、3 帧 是 DNS 查询 包 、2、 
4 帧 是 DNS 响应 包 。 从 图 1.52 中 可 以 看 到 ， 该 数据 包 中 第 1 帧 是 请 求 查询 的 DNS 地 址 
dns.msftncsi.com，2 帧 是 响应 DNS 的 数据 包 。3、4 帧 和 1、2 帧 作用 是 一 样 的 ， 唯 一 不 同 
的 是 这 两 个 数据 包 是 请 求解 析 为 IPv6 地 址 ，1、2 帧 请 求解 析 的 地 址 是 IPv4。 该 DNS 查询 
数据 包 是 由 Windows 系统 发 送 的 ， 用 来 判断 网 络 是 否 连通 ， 也 就 是 说 是 否 能 够 访问 网 站 。 
如 果 dns.msftncsi.com 能 解析 成 功 ， 则 说 明 网 络 连通 正常 ， 也 就 是 捕获 文件 中 看 到 的 第 2 
帧 。 还 有 一 种 方法 判断 网 络 是 否 连通 ， 就 是 访问 http://www.msftncsi.com/ncsi.txt。 如 果 访 
问 成 功 ， 则 网 络 连通 正常 。 

5、.6 帧 是 ARP 广 播 包 和 响应 包 。 之 所 以 捕获 到 该 包 , 是 因为 ARP 表 是 通过 内 建 的 SNMP 
管理 的 ， 不 管 SNMP 服务 是 否 开 启 ， 都 会 产生 ARP 包 。 所 以 ， 就 会 有 第 6 帧 中 的 ARP 响 
应 包 。 
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7 帧 表示 访问 162.159.242.165 网 站 错误 产生 的 数据 包 。 

8 帧 是 IGMPv2 包 。IGMPv2 表示 是 IGMP 协议 的 第 二 个 版 本 。 该 协议 包含 了 离开 信 
息 ， 人 允许 迅速 向 路 由 协议 报告 组 成 员 终止 情况 ， 这 对 高 带宽 组 播 组 或 易 变型 组 播 组 成 员 是 
非常 重要 的 。 从 该 包 的 目的 地 址 可 以 看 到 是 发 送 给 239.255.255.250， 该 地 址 是 一 个 多 播 地 
址 。 该 数据 包 是 由 于 电脑 中 可 能 装 了 某 个 播放 器 插件 产生 的 。 

11、12 帧 是 DHCP 请 求 和 确认 包 。 之 所 以 有 DHCP 包 是 因为 ， 本 机 使 用 了 DHCP 自 
动 获取 的 方法 。DHCP 有 一 定 的 租 期 ， 当 租 期 一 到 ， 主 机 会 自动 向 服务 器 请 求 瑟 地址。 


1.9 ”打开 其 他 工具 捕获 的 文件 


Wireshark 被 认为 是 一 个 标准 的 数据 包 捕获 和 分 析 工 具 , 使 用 它 还 可 以 打开 其 他 工具 捕 
获 的 文件 。 所 以 用 户 需 要 知道 哪些 工具 可 以 与 Wireshark 交互 操作 。 本 节 将 介绍 如 何在 
Wireshark 下 打开 其 他 工具 捕获 的 文件 。 

在 Wireshark 下 打开 一 个 捕获 文件 ， 通 常 是 在 菜单 栏 中 依次 选择 FilelOpen 命令 ， 选 择 
要 打开 的 捕获 文件 。Wireshark 可 以 使 用 Wiretap 库 转 化 文件 的 格式 。 例 如 , 使 用 Sun Snoop 
工具 捕获 的 文件 (该 文件 后 级 名 是 .snoop), 如 果 要 使 用 Wireshark 打开 , Wireshark 的 Wiretap 
库 会 执行 输入 /输出 功能 处 理 该 数据 包 。 

打开 一 个 捕获 文件 ,在 菜单 栏 中 依次 选择 FilelOpen 命令 (或 单 击 工具 栏 中 的 File Open 
按钮 ) ， 将 显示 如 图 1.52 所 示 的 界面 。 


在 该 界面 可 以 看 到 Wireshark 中 支持 的 所 有 文件 类 型 。 选 择 相应 的 文件 类 型 ， 然 后 单 
击 “ 打 开 ” 按 钮 ， 即 可 打开 捕获 文件 。 
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Wireshark 默认 界面 显示 了 一 些 基本 的 信息 。 如果 用 户 想 查看 更 详细 的 信息 , 可 以 手动 
设置 Wireshark 的 视图 。 例 如 ， 在 Packet List 面板 中 添加 列 ， 设 置 Packet Details 面板 的 显 
示人 信息， 设置 Profile 等 。 本 章 将 介绍 设置 Wireshark 视图 的 方法 。 


2.1 设置 Packet List 面板 列 


在 Wireshark 的 Packet List 面板 中 默认 包含 了 几 列 , 如 No、Time、Source 和 Destination 
等 。 用 户 也 可 以 手动 地 添加 、 删 除 、 隐 藏 或 编辑 显示 的 列 。 本 节 将 介绍 设置 Packet List 面 
板 列 。 


2.1.1 添加 列 


Wireshark 默认 包含 了 几 列 , 这些 列 中 显示 了 基本 信息 。 如 果 想 集中 分 析 一 个 特定 问题 ， 
往往 需要 使 用 添加 列 的 方法 来 实现 。 添 加 列 可 以 帮助 用 户 快速 地 查看 到 所 需要 的 信息 。 添 
加 列 有 两 种 方法 ， 下 面 分 别 进行 介绍 。 


1. 第 一 种 方法 


第 一 种 添加 列 的 方法 是 展开 Packet Details 面板 中 的 数据 包 , 在 展开 的 数据 包 中 右键 单 
击 某 个 字段 ， 然 后 选择 Apply as Column 命令 即 可 添加 该 列 。 在 Packet Details 面板 中 ， 显 
示 了 数据 帧 中 包含 的 字段 和 值 。 操 作 方 法 如 下 所 示 。 

(1) 打开 一 个 捕获 文件 (名 为 http.pcapng) 。 

(2) 在 Packet Details 面板 中 ， 右 键 单 击 Intermet Protocol 选项 ， 将 显示 一 个 菜单 栏 。 
在 该 菜单 栏 中 ， 单 击 Expand All 命令 显示 整个 帧 中 的 所 有 字段 。 

(3) 选择 其 中 一 个 字段 ， 这 里 选择 Time to live。 右 键 单 击 该 字段 ， 并 选择 Apply as 
Column 命令 ， 将 显示 如 图 2.1 所 示 的 界面 。 

从 该 界面 可 以 看 到 ， 在 Wireshark 的 界面 增加 了 一 列 Time to live。 


2. 第 二 种 方法 
如 果 包 中 不 包含 有 用 户 想 要 添加 的 字段 ， 使 用 第 一 种 方法 将 无 法 实现 。 这 就 需要 使 用 


第 二 种 方法 来 实现 。 在 Wireshark 的 菜单 栏 中 ， 依 次 选择 EditlPreferences|Columns 命令 ， 
将 显示 如 图 2.2 所 示 的 界面 。 
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Source: 192.168.0.104 (192.168.0.104) 
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[source GeoIP: Unknown] 

[Destination GeoTP: Unknown] 
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图 2.1 添加 列 的 方法 
PT | 
© User interface 
im [The frst st enuy wa be dspiyed as the leftmost coummn - Drag and drop entnes to change coumn order] 
DisplayedTile Field ype E 
TS pm 团 No Number 
Was 图 Time Time (format as specified) 
eo ass 
ee Destnation Destination address 
Name Resoluson 、 a 
ppd 团 length Packetlength (bytes) 
国 protocols gw 
国 Statistics - 
Fed occurrence: 0 


图 2.2 创建 列 


从 该 界面 中 ， 可 以 看 到 Wireshark 已 存在 的 列 。 此 时 可 以 单 击 Field type 区 域 中 的 任何 
字段 ， 通 过 鼠标 拖 电 来 调整 列 的 顺序 ， 并 添加 列 。 在 该 界面 显示 的 标题 也 可 以 重 命名 ， 单 
击 鼠 标 即 可 修改 默认 的 标题 名 。 如 果 要 添加 列 ， 则 单 击 Add 按钮 。 

2.1.2 隐藏、 删除 、 重 新 排序 及 编辑 列 


用 户 可 以 在 首选 项 窗口 对 列 进行 各 种 操作 ， 如 隐藏 列 、 删 除 列 和 编辑 列 等 。 将 鼠标 靠 
近 Packet List 面板 中 的 列 窗口 ， 右 键 单 击 某 一 列 ， 就 可 以 实现 编辑 列 标题 、 暂 时 隐藏 (或 


辣 生生 者 
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显示 ) 列 或 删除 列 。 使 用 鼠标 向 左 或 向 右 拖 动 窗口 ， 可 以 对 这 些 列 重 新 排序 。 本 小 节 将 介 
绍 对 列 的 操作 。 
1. 隐藏 列 


如 果 当 前 不 需要 分 析 某 一 列 的 信息 ， 就 可 以 将 该 列 隐藏 。 例 如 要 隐藏 Time to live 列 ， 
在 Wireshark 主 界面 的 Packet List 面板 中 单 击 Time to live 列 , 将 显示 如 图 2.3 所 示 的 界面 。 


hep peapng Wreshark 1107 (W107-0-96b931e1 from master-L10] cenm 
Ee Edt Yew Go Capture Anahze Statstcs Telephony IToos jntemak Hep 
自 砚 大 本 到 | 四 牟 X 包 及 9 站 国王 下 加 QDII 本 四 蝎 苏 | 台 


Fiher Expression. Gear Apply » 


[No Time Source Destination 
5 0.025257000 192.168.0.104 61,182.140.146 
tt 

‘0.000010000 61.182.140.146 192.168.0.104 No Sorng 
.0:600833000 61.182.140.146 192.168.0.104 


Show Resoed 


Es Algn Lart 加 

9a-Byt_cl 站 6 

S Internet Protocol Version 4, .168. re 
Version: 4 Aion Rht (defauk) 


Header length: 20 byres 
@ Differentiated services Field: Ox00 (DsCP Ox00: Default; ECN: I= Coumn Preferances… 


Toral Length: 254 Ede coumn Datats... 
Identification: OxSbb5 (23477) ED Resze Coum 
Flags: 0x02 (Don't Fragnent) 
= ] pepbyed Coums 
Hide Coumm 


图 2.3 隐藏 列 


该 界面 可 以 看 到 显示 了 该 列 中 所 有 可 用 的 选项 。 这里， 单 击 Hide Columns 命令 。 此 
时 to live 列 就 隐藏 了 ， 如 图 2.4 所 示 。 


htppcapng [wireshark 1107 wL107-0-96b93lal fom masterl10 [= 1 5 me 
[Be Ele Yew Go Goture Arayae statete Telphony Toos ntemas Hep 
[era mel wo 从 9 中国 下 和 业 | 四 加 QI » 
Fher [=] opression. com i 
No， Time Destination protocol fo 

75257000 192°168.0.104 Of 182°140,146 We 966 Ce 76c76GETHENESFTES 


50. 
5 0.025249000 61.182.140.146 192.168.0.104 。 TCP 60 http > 51833 [ACK] Seq 
7 0.000010000 364 HTTP/1.1 200 OK 

80. 
90. 


326 continuation or non-HT 
60 51833 > http [ACK] seq~ 


| 


Header length: 20 bytes 
© Differentiated services Field: Ox00 (Dscp 0x00: Default; EcN: Ox00: Nor-EcT (Not 1 


0000 00.. ~ Differentiated Services Codepoint: Default (0x00) 
00 = Explicit Congestion Notification: Not-ECT (Not ECN-Capable Transpor1 
Toral Length: 254 
Identification: Ox5bb5 (23477) 
Flags: 0x02 (Don'r Fragment) 


图 2.4 隐藏 Time to live 列 


从 该 界面 可 以 看 到 Time to live 列 不 存在 了 ， 说明 该 列 已 隐藏 。 当 使 用 该 列 时 ,可 以 单 
击 Displayed Columns 命令 ， 选 择 隐 藏 的 列 。 


2. 删除 列 
如 果 不 再 使 用 Time to live 列 ， 可 以 将 该 列 删 除 。 在 如 图 2.3 所 示 的 菜单 栏 中 ， 选 择 
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Remove Column 命令 ， 将 显示 如 图 2.5 所 示 的 界面 。 
I httppeapng Wireshark 1107 ML1070-q6b9ilalfommaselliil 世纪 攻 梧 | 


Ee Edt View Go Capture Anayze Statstics Telephony Took Jntemak Hep 
oOo@#ulBOXS ae*oOT adn » 


Fiker: | Expression.. clear » 
(No Time Source Destination Protocol Length Info 加 
5 0.025257000 192.168.0.104 61.182.140.146 HTTP 268 GET /pc/qqclient/sfile™| 


6 0.025249000 61.182.140.146 
7 0.000010000 61.182.140.146 
80. 000 CT 146 


364 HTTP/1.1 200 OK 
326 continuation or non-HT 


60 hrrp > 51833 [ACK] Seq | 
60 51833 > http [Ack] seq -| 


Version: 4 
Header length: 20 byres 
A Differentiated services Field: Ox00 (pscP Ox00: Default; ECN: Ox00: Nor-ECT (CNor | 
0000 00.. = Differentiated Services Codepoint: Default (0x00) 
ee 00 = Explicit Congestion Norificarion: Not-ECT (kot ECN-Capable Transpor' 
Toral Length: 254 
Identification: Ox5bb5 (23477) 
|| Flags: Ox02 (Don’t Fragment) - 


图 2.5 删除 Time to live 列 


从 该 界面 可 以 看 到 Time to live 列 已 经 被 删除 。 这 里 可 以 看 到 该 界面 与 图 2.4 所 示 的 界 
面 一 样 。 但 是 实际 上 是 不 同 的 ， 因 为 删除 该 列 后 ， 在 Displayed Columns 中 将 不 会 存在 。 如 
果 想 再 查看 该 列 ， 需 要 重新 创建 才 可 以 。 


3. 排序 列 内 容 


通过 排序 列 可 以 使 用 户 更 快 地 分 析 数 据 。 这 里 以 http.pcapng 文件 为 例 , 对 Time to live 
列 内 容 进行 排序 。 打 开 该 文件 后 ,使 用 鼠标 单 击 Time to live 列 标题 就 可 以 了 。 对 该 列 排序 
后 ， 该 列 的 数据 将 从 低 到 高 排序 ， 如 图 2.6 所 示 。 如 果 再 次 单 击 该 列 ， 将 从 高 到 低 排 序 。 


httppcapng [wireshark1107 (v1107-0-g6bs31al from master-110] ey 
Ele Edt Vew Go Capture Anayze Statstics Telephony Toos Intemaks Hep 
@@ 关 厦大 | 巴 牟 % 多 人 9 四 于 业 | 辐 加 QI 本 国 > 
Fiher 四 epesson。 ce 
Time Protocol Length Timeto live Info 四 
94 DNS i 47 Stan 
100 0.045044000 1 04 150 
286 0.137103000 8.8.8.8 192.168.0.104 DNS 173 47 Standard 
233 0.045029000 101.226.11.125 192.168.0.104 DNS 226 52 standard 
235 0.029261000 112.65.208.58 。 192.168.0.104 Tcp 66 52 htrp > 51 
”240 0.029932000 112.65.208.58 192.168.0.104 了 60 52 htrp > 51 
242 0.000371000 112.65.208.58 。 192.168.0.104 TCP 60 52 http > 51 
243 0;000014000 112:65:208.58 192.168:0-104 TP ‘60 52 http > 51 
244 0.029889000 112.65.208.58 192.168.0.104 TCP 60 52 htrp > 51 
245 0-001365000 112.65:208.58 。 192.168.0.104 。 HETP 464 52 HTTP/1.1 
246 0.000016000 112.65.208. Tcp 60 52 htrp > 51 
| 249 0.030239000 112.65. TcP 60 52 htrp > 51 
75 0.014456000 111.161. orcQ 89 53 OICQ Prot 
281 0.263491000 111.161.88.76 192.168.0.104 orca 121 53 orcQ Prot 
288 0.139980000 124.40.41.6 192.168.0.104 Tcp 66 53 htrp > 51 
291 0.141974000 124.40.41.6 192.168.0.104 Tcp 60 53 htrp > 51 轩 
292 0.000423000 124.40.41.6 192.168.0.104 PKIX-CR 1319 53 Certifica 
3 0.020955000 61.182.140.146 192.168.0.104 Tp 60 55 htrp > 51 
6 0.025249000 61.182.140.146 192.168.0.104 TCP 60 55 htrp > 51 
7 0.000010000 61.182.140.146 192.168.0.104 HTTP 364 55 HTTP/1.1 
8 0.000003000 61.182.140.146 192.168.0.104 HTTP 326 55 Continuat 
11 0.020514000 61.182.140.146 。 192.168.0.104 TcP 60 55 http > 51 
2 0.490913000 192.168.0.104 61.182.140.146 TCP 66 64 51833 > h ~ 
4 Wm ' 
图 加 | Fie: “Ci\Users\Administrator\Deskt... | Pac... | Profie: Defauk 
J 


图 2.6 排序 Time to live 列 的 内 容 


。33。 


第 1 篇 Wireshark 应 用 篇 


从 该 界面 可 以 看 到 Time to live 列 ， 是 从 低 到 高 排序 。 此 时 将 鼠标 滚动 到 Wireshark 的 
顶部 ， 可 以 看 到 捕获 文件 中 最 低 的 TTL 值 是 47。 


4. 编辑 列 


在 图 2.3 所 示 的 菜单 栏 中 选择 Edit Column Details 
命令 ,将 显示 如 图 2.7 所 示 的 界面 。 

这 里 将 标题 Time to live 修改 为 live， 然 后 单 击 OK 
按钮 ， 将 显示 如 图 2.8 所 示 的 界面 。 

| 是 htp pcapng [wireshark 1107 (vL.107-0-g6b931a1 from masterll0l yy)| 

Hie Edt Vew Go Capture Anayze Statstxs Telephony Jook Intemas Heb 


©e@RuMADSOXSA+ OFT aaanlm >- 
|Expression. Clear » 


图 2.7 编辑 列 页 面 


50 
60 
下 60 herp 
244 0.029889000 112.65. 60 S52 herp > S18 
245 0. 001365000 112. 65. 464 52 HTTP/1.1 2 
246 0. 000016000 112.65. 50 52 herp > 518 
249 0.030239000 112.65.208. TcP 50 52 htrp > 518 
75 0.014456000 111.161.88. orcQ 59 53 OICQ Proro 


orcQ 3121 53 orcQ proro - 


图 2.8 编辑 列 


从 该 界面 可 以 看 到 原来 的 标题 列 Time to live 已 经 变 成 live。 
5. 输出 列 数据 


如 果 要 想 使 用 其 他 工具 分 析 Wireshark 捕获 的 数据 ， 可 以 将 Wireshark 的 列 数 据 输出 。 
用 户 添加 列 到 包 列 表 窗口 ， 然 后 输出 列 数据 。 

例如 ， 如 果 想 要 输出 Time to live 列 的 内 容 ， 可 以 选择 File|Export Packet Dissections|as 
"CSV"(Comma Separated Values packet summary)file... 命 令 , 如 图 2.9 所 示 。 然 后, 将 这 些 数 
据 保存 到 本 地 磁盘 的 一 个 文件 中 。 


Fle Edt Vew Go Capture Anayze Statstics Telephony TIoos jntemak Hep 
ll ER > 


» 


51836 > SYN] Seq=( 
66 http > 51836 [SYN, ACK] 
60 51836 > http [ACK] seq=] 
179 GET /r/rlidwatsonRc14 m ~ 
上 


fie... 
35 "CSV" (Comma Separated Values packet summary) fle... 
3 "CAmays (packet bytes) file... 
as XML - "PSML (packet summary) fle... 
35 XML - PDML (packet detais) fie... 


图 2.9 输出 列 数 据 
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保存 的 文件 中 , 显示 了 所 有 列 中 的 数据 ,这 些 列 之 间 使 用 逗号 分 隔 , 此 时 打开 这 个 CSV 
文件 可 以 进一步 操作 数据 。 例 如 ， 使 用 Microsoft Excel 打开 CSV 文件 ， 将 显示 如 图 2.10 
所 示 的 界面 。 


EFFECEE outputcsv - Microsoft Excel Ex™)] 
EE ldTet Tem ao@omr 
-nn - = 王国 = 和 观  - A i 和- 工 - 知 - 
x 和 ”BBIU-AA 要 和 要 霸 必 ” 时 -%， te 
也 | 田 -| 生 -和 -| 史 -| 这 这 | 区- | 汇 汉 ” 
基板 全 | BR。 数字 5 单 志 倍 六 


| I No. 
| B C D 下 中 H 
| ine Source Destination Frotoco-Lengt Info 


1 OGiga-Byt_0b:00:4f Broadcast ARP 60 Who has 192.168. 
2 0.490913 192. 168. 0.104 61.182.140.146 TCP 66 51833 > http [SYN] 
3 0.511868 61.182.140.146 192.168.0.104 TCP 60 http > 51833 [SYN, 
4 0.511881 192. 168. 0. 104 61. 140.146 TCP 60 51833 > http [ACK] 
5 0.537138 192. 168. 0. 104 61.182.140.146 HTTP 268 GET /pc/qqclient/si 
6 0.562387 61.182.140.146 192.168.0.104 TCP 60 http > 51833 [ACK] 
站 TCP 
8 HTTP 
9 TCP 

TCP 


和 OU 


0. 562397 61.182.140.146 。 192.168. 0.104 364 [TCP segnent of a 1 
0. 5624 61.182.140.146 。 192.168.0.104 326 HTTP/1.1 200 OK ( 

60 51833 > http [ACK] 

60 51833 > http [FTIR 


Seomnoomeon 


| 0. 562401 192. 168. 0. 104 61. 182.140. 146 
11 10 0.562653 192.158. 0. 104 61.182.140.146 


12 11 0.583167 61.182.140.146 192.168.0.104 TCP 区 > S1833 [FIN, ~ 
NN output 一 吕 lo 0 
就 者 国电 00% [3 2 +) 


图 2.10 CSV 文 件 


从 该 界面 可 以 看 到 在 Wireshark 中 的 每 列 信息 。 

【实例 2-1】 下 面 演示 添加 HTTP 协议 的 Host 字段 作为 一 列 。 有 具体 操作 步骤 如 下 所 示 。 

(1) 在 Wireshark 的 工具 栏 中 单 击 恕 (打开 一 个 捕获 的 文件 ) 按钮 ， 打 开 http.pcapng 
文件 。 

(2) 在 包 列表 窗口 中 ， 向 下 滚动 鼠标 选择 59 帧 。 

(3) 在 包 详细 窗口 中 显示 了 59 帧 中 的 详细 内 容 。 单 击 Hypertext Transfer Protocol 前 面 
的 加 号 〈+) ， 展 开 59 帧 的 会 话 ， 如 图 2.11 所 示 。 


属 htppeapng [Wirechark 1107 (vL107-0-g6b93131 from macter-110)] 

Ele Edt Vew Go Cpture Anayze Statstcs Teephony Joos jntemak Heb 

oo0anlA 记 旧 基尼 | 人 9 和 是 林业 | 国 加 QQODI 如 加 允 兴 | 对 
Fer | 站 smeesor- Cear Appy Save 


INo. Time Time to ve Source Dectiration protocol Length Info 3 
59 1.082595000 64 192.168.0.104 61.135.169.125 HTP 779 GET / HTTP/1. 


60 1.082653000 Tcp 66 http > 53501 一 | 
61 1.082676000 Tcp 54 53501 > 
62 1.083105000 Tcp 56 htrp > 53502 
‘63 1.083133000 Tcp 54 53502 > http 
64 1.084634000 Tcp 56 htrp > 53514 
[GT aakann SS_GT 1aS 1RG 152 197 1F8 n 104 re Sshrrn ~ sasns ~ 
‘ ) 
可 Frame 50: 779 bytes on wire (632 ay, 779 Dyees Caprired C232 bits) on terface or 
9 Ethernet I1, src: ciga-eyt_c8:4c:89 (le: )), Dst: Tp-Linkr_fo: K :fo 
站 104), Dst: 61.135.169.125 (61.135 


日 Transmission Control Protocol, src Port: 53495 (53495), Dst port: http (80), seq: 1, Ack: 1, 
“WO NN 


ER 


Accept /html ,app1licat ion/xheml+ ym ,app1licat ion/xml; inage/webp,*/*;9-0.8\r\n | 
: Nozi11a/5.0 (windows NT 6.1; wow64) Applewebkit/537. ,1ike Gecko) chr| 


zh-CN,zh; 9-0. E\r\n 
[truncated] Cookie: EAIDUID-443CF10397ASF4E037AC79CF748780CA:FG-1; BDuss-c4dnpyckzsbonzbjwl 
rw 

[Eu]11 request UR1: http://www.baidu, com/] 

Thrre request 1/2] 


I®@ HTP Host (hetp host), 21 bytes 


图 2.11 59 帧 中 的 详细 内 容 
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(4) 在 该 界面 右键 单 击 Host 行 (包含 www.baidu.com\rnm) ， 并 选择 Apply as Column 


命令 ，Host 列 将 被 添加 到 Info 列 的 左边 ， 如 图 2.12 所 示 。 此 时 可 以 通过 单 击 并 拖 动 列 ， 
将 列 的 边缘 扩大 。 


1064 idu. com 
52 123.125.115.164 192.168.0.104 HTTP 345 
52 61.135.169.125 192.168.0.104 HTTP 505 HTTP/1.1 200 Ok (te 


130 1.204820000 64 192.168.0.104 123.125.65.30 HTTP 1042 imgstat.baidu.com GET /7.gif?pid=322&t 
132 1.219810000 51 123.125.65.30 192.168.0.104 HTTP 277 HTTP/1.1 200 OK = 
‘ 加 
画 Frame 59: 779 bytes on wire (6232 bits), 779 bytes captured (6232 bits) on interface 0 可 


田 Ethernet II, Src: Giga-Byt_c8:4c:89 (1c:6f:65:c8:4c:89), Dst: Tp-LinkT_f9:3c:c0 (6c:e8:73:f9:3c:c0) 
田 Internet protocol version 4, src: 192.168.0.104 (192.168.0.104), Dst: 61.135.169.125 .135.169.125) 
田 Transmission Control Proroco1，Src Port: 53495 (53495), Dst Port: hrtp (80), Seq: 1，Ack: 1, Len: 725 
日 


ET/ 


connection: keep-alive\r\n 

Accept: text/htm],application/xhtml+xm] ,application/xm];9q=0.9,image/webp,*/*;q=0.8\r\n 

User-Agent: Mozilla/5.0 (windows NT 6.1; WOWw64) ApplewebKit/537.36 (KHT™ML, like Gecko) Chrome/34.0.1847.116 Si 

Accept-Encoding: gzip,deflate,sdch\r\n 

Accept-Language: zh-CN,zh;q=0.8\r\n 

[truncated] Cookie: BAIDUID=443CF10397ASF4E037AC79CF748780CA:FG=1; BDUSS=c4dnpYckzsbONZbjYwNktaLTI)YWVozb3vnzG; 

Nrvn 

[Eu11 request URI: http://www, baidu. com/] = 
4 mL 
0000 6c e8 73 f9 3c cO 1c 6f 65 c8 4c 89 08 00 45 00 
0010 02 fd 3e 64 40 00 40 06 00 00 cO a8 00 68 3d 87 
0020 a9 7d do f7 00 50 dc 53 Ob 71 51 b4 c8 fo 50 18 
0030 40 bo 97 25 00 00 47 45 54 20 2f 20 48 54 54 50 


0040 2f 31 2e 31 0d 0a 48 6f 73 74 3a 20 77 77 77 2e 
Annsn ES4 25 In £7 sf Er Nd Ns 42 sf Fn Fn ss 


[3 前 | 二 CN Use Nrinerat oN Deskton tt | Packets: 394 * Displayed: 36 (9.... 


pn ‘Wireshark 1107 (v1.107-0-g6b931a1 from master-110)] Do 
Ele Edt View Go Capture Anayze Statistics Telephony Took Jntemaks He 
四 回 大 硬是 | 巴 双 X 包 | 以 9 和 四 下 和 业 | 四 加 QQ 人 DODl 攻 加 罗 关 | 加 


Fher | [= | Expression.. Clear Appy Save 


Host: www.baidu.com\r\n 司 | 


图 2.12 添加 的 Host 列 


(5) 从 该 界面 可 以 看 到 Host 列 被 成 功 添加 。 此 时 ， 可 以 单 击 Host 列 进行 排序 。 如 果 


想 要 查看 所 有 主机 客户 端 发 送 的 请 求 ， 可 以 单 击 工具 栏 中 的 霍 〈 跳 转 到 第 一 个 包 ) 按钮， 
将 显示 如 图 2.13 所 示 的 界面 。 
(8 huppeapng MWhrehak1107 i107-0-960031n1 rommaerii0 sc 


Ele Edt Vew Go Capture Anayze Statistics Telephony Ioos jntemaks Hep 
全 几 着 硬 大 | 世 巴 其 人 | 六 和 中 国 于 年 | 国 加 QDII 机 四 昂 苏 | 马 


L62.159. 本 
162.159.241.， 165 


61.135.169.125 
61.135.169.125 
61.135.169.125 
61.135.169.125 


图 2.13 所 有 发 送 请 求 的 客户 端 


(6) 该 界面 显示 所 有 发 送 HTTP 请 求 的 客户 端 ， 这 样 就 不 用 滚动 鼠标 一 个 个 查找 发 送 
HTTP 请 求 的 客户 端 。 如 果 想 将 Host 列 隐藏 , 右键 单 击 Host 列 并 选择 Hide Column 即 可 实 


。 当 再 次 查看 时 ， 单 击 右键 Host 列 并 选择 Displayed Columns |Host (http.host) 命令 ， 
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Host 列 将 再 次 被 添加 到 Wireshark 的 窗口 列表 中 。 
2.2 Wireshark 分 析 器 及 Profile 设置 


Wireshark 分 析 数 据 的 过 程 中 ， 通 常会 经 过 5 个 分 析 器 。 在 Wireshark 中 的 所 有 配置 都 
保存 在 Profile 中 ，Profile 实际 是 一 个 目录 。 用 户 可 以 手动 创建 和 切换 Profile。 本 节 将 介绍 
Wireshark 的 分 析 器 及 Profile 的 相关 设置 。 


2.2.1 Wireshark 分 析 器 


分 析 包 是 Wireshark 最 强大 的 功能 之 一 。 分 析 数 据 流 过 程 就 是 将 数据 转换 为 可 以 理解 
的 请 求 、 应答 、 拒 绝 和 重 发 等 。 帧 包括 了 从 捕获 引 警 或 监听 库 到 核心 引擎 的 信息 。Wireshark 
中 的 格式 由 成 千 上 万 的 协议 和 应 用 程序 使 用 ， 它 可 以 调用 各 种 各 样 的 分 析 器 ， 以 可 读 的 格 
式 将 字段 分 开 并 显示 它们 的 含义 。 下 面 将 介绍 详细 分 析 Wireshark 的 包 信息 。 

例如 ， 一 个 以 太 网 网 络 中 的 主机 向 Web 网 站 发 送 HTTP GET 请 求 时 ， 这 个 包 将 由 5 
个 处 理 器 进行 处 理 ， 分 别 如 下 所 示 。 


1. 帧 分 析 器 


帧 分 析 器 用 来 检测 和 显示 捕获 文件 的 基本 信息 ， 如 每 个 帧 的 时 间 稚 ， 如 图 2.14 所 示 。 
然后 帧 分 析 器 传递 帧 给 以 太 网 分 析 器 。 


有 Frame 5: 268 bytes on wire 
Interface id: 0 
Encapsulation type: Ethernet (1) 
Arrival Time: Jun 11, 2014 09:12:18.469086000 国 国 国 国 国 国 
[Time shift for this packet: 0.000000000 seconds] | 


Epoch Time: 1402449138.469086000 seconds 

[Time delta from previous captured frame: 0.025257000 seconds] 

[Time delta from previous displayed frame: 0.025257000 seconds] 

[Time since reference or first frame: 0.537138000 seconds] 

Frame Number: 5 

Frame Length: 268 bytes (2144 bits) 

Capture Length: 268 bytes (2144 bits) 

[Frame is marked: False] 

[Frame is ignored: False] 

[Protocols in frame: eth:ip:tcp:http] 

[Number of per-protocol-data: 1] 

[Hypertext Transfer Protocol, key 0] 

[coloring Rule Name: HTTP] 

[coloring Rule string: http || tcp.port 一 80] = 
到 


图 2.14 帧 分 析 器 


从 该 界面 可 以 看 到 第 5 帧 中 的 一 些 基 本 信息 。 例 如 ， 帧 的 编号 为 5 捕获 时 的 编号 ) ， 
帧 的 大 小 为 268 个 字 节 ， 帧 被 捕获 的 日 期 和 时 间 ， 该 帧 和 前 一 个 帧 的 捕获 时 间 差 以 及 和 第 
一 个 帧 的 捕获 时 间 差 等 。 


要 
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2. 以 太 网 分 析 器 


以 太 网 分 析 器 用 来 解码 、 显 示 以 太 网 帧 (Ethemet I) 头 部 的 字段 和 字段 类 型 的 内 容 等 。 
然后 传递 给 下 一 个 分 析 器 ， 也 就 是 IPv4 分 析 器 。 如 图 2.15 所 示 ， 该 字段 类 型 值 为 0x0800， 
0x0800 表示 是 一 个 卫 头 部 。 


困 Source: Giga-Byt CS8: 4c: 89 de 6f:65:c a 
| pe Te 00500 - 
| 一 = - 


图 2.15 以 太 网 分 析 器 
从 该 界面 可 以 看 到 在 以 太 网 帧 头 部 中 封装 的 信息 ， 包 括 发 送 方 的 源 MAC 地 址 和 目标 
MAC 地 址 。 
3. IPv4 分 析 器 
IPv4 分 析 器 用 来 解码 IPv4 头 部 的 字段 ， 并 基于 协议 字段 的 内 容 传递 包 到 下 一 个 分 析 
器 。 如 图 2.16 所 示 ， 该 界面 显示 了 IPv4 分 析 器 中 的 内 容 。 


Version: 4 
Header length: 20 bytes 
田 pifferentiated Services Field; Ox00 (DSCP 0x00; Default; ECN; 0X00; Not-ECT (Not ECN-Capable Transport)) 
Toral Length: 254 
Identification: Ox5bb5 (23477) 
田 F1ags: Ox02 (Don't Fragment) 
Fragment offset: 0 


Header checksum: 0x52ec [validation disabled] 
Source: 192.168.0.104 (192.168.0.104) 
Destination: 61.182.140.146 (61.182.140.146) 
[source GeoIp: Unknown] 
[Destination GeoTpP: unknown] ~ 


3f 71 71 
< 


0 人 
0040 63 5c 69 63 8e 74 2f 强 国 9 放 加 对 69 5e 64 
BMD B22 21 


I@ | Internet protocol Version 4 (ip), 20 ET i a De pri 


图 2.16 IPv4 分 析 器 
从 该 界面 可 以 看 到 TCP 协议 字段 的 值 为 6。 
4. TCP 分 析 器 接管 


TCP 分 析 器 用 于 解码 TCP 头 部 的 字段 ,并 基于 端口 字段 的 内 容 , 将 帧 传递 给 下 一 个 分 
析 器 。 如 图 2.17 所 示 ， 该 界面 显示 了 TCP 分 析 器 中 的 内 容 。 


日 Transmission Control Protocol, Src Port: 51833 (51833), Dst Port: http (80), seq: 1，Ack: 1, Len: 214 | 


Stream index: 
Sequence number: 1 (relative sequence number) 
[Next sequence number: 215 (relative sequence number)] 
Acknowledgment number: 1 (relative ack number) 
Header length: 20 bytes 
国 F1ags: 0x018 (PSH, ACK) 
window size value: 64800 
[calculated window size: 64800] 
[window size scaling factor: -2 (no window scaling used)] 
田 Checksum: Ox677e [validation disabled] 
_ 国 [SEQ/ACK analysis] ~ 


图 2.17 TCP 分 析 器 
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从 该 界面 可 以 看 到 , 目标 端口 为 HTTP 协议 的 80 端口 。 在 下 一 小 节 , 将 介绍 Wireshark 
如 何 处 理 运 行 在 非 标准 端口 上 的 流量 。 


5. HTTP 分 析 器 接管 


在 本 例 中 ，HTTP 分 析 器 解码 HITP 包 的 字段 。 在 该 包 中 没有 嵌入 式 的 协议 或 应 用 程 
序 ， 所 以 这 是 帧 中 应 用 的 最 后 一 个 分 析 器 ， 如 图 2.18 所 示 。 


Host: www.baidu.com An 

Connection: keep-alive\r\n 

Accept: text/html ,application/xhtml+xm],application/xml;q=0.9,image/webp,*/*;q=0.8\r\n 
User-Agent: Mozilla/5.0 (windows NT 6.1; WOwWw64) ApplewebKit/537.36 (KHTML, like Gecko) chrom = 
Accept-Encoding: gzip,deflate,sdch\r\n 

Accepr-Language: zh-CN,zh;q=0.8\r\n 

[truncated] Cookie: BAIDUID=443CF10397ASF4E037AC79CF748780CA:FG=1; BDUSS=c4dnpYckzsbONZbjYwN 
\rn 

{Full request URI;: http://ww.baidyu. com/1] ~ 


生 


0000 6c e8 73 f9 3c cO lc 6f 65 c8 4c 89 08 00 45 00 
0010 02 fd 3e 64 40 00 40 06 00 00 co a8 00 68 3d 87 
0020 a9 7d dO f7 00 50 dc 53 Ob 71 51 b4 c8 f0 50 18 
0030 40 bo0 97 25 00 00 47 45 54 20 2f 20 48 54 54 50 
0040 2f 31 2e 31 0d 0a 48 6f 73 74 3a 20 77 77 77 2e /1. “HO St: www. 

0050 62 61 69 64 75 2e 63 6f 6d 0d 0a 43 6f 6e 6e 65 baidu.co m..Conne 

0060 63 74 69 6f 6e 3a 20 6b 65 65 70 2d 61 6c 69 76 ction: k eep-aliv 


@ WW Fle: “Cc:\Users\Admnistrator\Desktop\htt... | Packet... | Profie: Defauk 


图 2.18 HTTP 分 析 器 


从 该 界面 可 以 看 到 ， 客 户 端口 请 求 了 www.baidu.com 网 站 。 
2.2.2 分 析 非 标准 端口 号 流量 


应 用 程序 运行 使 用 非 标准 端口 号 总 是 网 络 分 析 专 家 最 关注 的 。 关 注 该 应 用 程序 是 否 有 
意 涉及 使 用 非 标准 端口 ， 或 暗中 想 要 尝试 通过 防火 墙 。 


1， 分 配给 另 一 个 程序 的 端口 号 


当 某 数 据 包 使 用 非 标准 端口 时 ， 如 果 被 Wireshark 识别 出 是 使 用 另 一 个 程序 ， 则 说 明 
Wireshark 可 能 使 用 了 错误 的 分 析 器 ， 如 图 2.19 所 示 。 


tcppcapng [Wireshark1107 (v1107-0-96b931al fom master-110)] =o 


Fle Edt View Go Capture Anayze Statstics Telephony Iooks Intermas Hep 
Oa 和 几 | 白人 其 久 | 人 “人 久 加 于 生 | 回国 QQQ 昌 本 田 昌 关 | 加 


Fiker: [=] Expression. Clear 


Destination 


图 2.19 使 用 非 标准 端口 
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从 该 界面 Packet List 面板 中 的 Info 列 ， 可 以 看 到 显示 了 NetBIOS 的 信息 。 但 正常 的 


NetBIOS 流量 看 起 来 不 是 这 样 的 。 当 Info 列 的 端口 区 域 显 示 netbios-ns 时 ，Protocol 列 显示 
都 使 用 的 是 TCP 协议 。 此 时 查看 该 文件 ， 发 现 Info 列 不 包含 正常 的 NetBIOS 名 称 服务 
细节 。 


2. 手动 强制 解析 数据 


手动 强制 解析 数据 有 两 个 原因 ， 分 别 如 下 : 

口 Wireshark 使 用 了 错误 的 解析 器 ， 因 为 非 标准 端口 已 经 关联 了 一 个 分 析 器 。 

口 Wireshark 不 能 为 数据 类 型 启动 解析 器 。 

强制 解析 器 解析 数据 ， 右 键 单 击 在 Packet List 面板 中 的 不 能 解析 的 /解析 错误 的 包 ， 并 


选择 Decode AS。 如 图 2.19 所 示 , 通常 TCP 建立 连接 使 用 3 次 握手 。 客 户 端 与 服务 器 端 之 
间 共 3 个 TCP 包 ， 建 立成 功 后 应 该 是 HTTP 协议 。 但 是 该 界面 都 是 TCP 协议 ， 说 明 有 未 
正确 解析 的 数据 。 这 里 选择 第 4 个 包 ， 右键 单 击 选择 Decode AS 命令 ， 将 弹出 如 图 2.20 所 
示 的 界面 。 


属 wiresharc Decode As eel 
| 
| ®lDecode| Link | Network| Transport 
Do not decode HAZELCAST 
| HDFS 
HDFSDATA 
HPFEEDS 
| Tc [Both (1284E0137) 中] portts) as EO | 
和 ICAP 
= iFcp 
_ eer | IMAP 
[Show Current | IPDC = 
Halp [ok ]( poy |( gore | 


图 2.20 选择 解码 器 


在 该 界面 选择 正确 的 解码 协议 〈 这 里 选择 HITP) ， 然 后 单 击 OK 按钮 。 这 时 ， 正 确 


解码 后 显示 的 界面 如 图 2.21 所 示 。 


| @ teppeapng Wireshark 1107 (W1107-0-96b9311 from master-110)] 18 

Ble Edt Vew Go Capture Anayze Statistics Telephony Ioos Intemas Hep 

合 回 关 一 首 | 马 由 其 多 | 人 他国 于 主因 同 QQQD|I 和 加 昌 关 | 加 
Fiher [el pmo Cr py po 

No. Time TCP Dekta 一 - 


Source Destination 


Protocol Length info 


图 2.21 使 用 HTTP 解码 器 
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则 伟 


传递 


依次 


从 该 界面 可 以 看 到 Protocol 和 Info 列 的 信息 都 发 生 了 变化 。 


3. 怎样 启动 解析 器 
启动 解析 器 的 过 程 如 图 2.22 所 示 。 


没有 解析 器 端口 


各 


启动 匹配 的 解析 器 启动 匹配 的 解析 器 
剖 部 
应 用 解析 器 | 应 用 解析 器 | 
结束 结束 
图 2.22 启动 解析 器 过 程 
启动 解析 器 过 程 如 下 所 示 。 


(1) Wireshark 将 数据 传递 给 第 一 个 可 用 的 启动 器 。 如 果 该 解析 器 中 没有 解析 器 端口 ， 


递 给 下 一 个 匹配 的 解析 器 。 


(2) 如 果 该 解析 器 能 解析 发 送 来 数据 的 端口 ， 则 使 用 该 解析 器 。 如 果 不 能 解析 ， 则 再 


给 下 一 个 匹配 的 解析 器 。 


(3) 如 果 该 解析 器 匹配 ， 则 使 用 并 结束 解析 。 如 果 仍 然 不 能 解析 ， 则 再 次 将 数据 传递 。 


类 推 ， 直 到 结束 。 


(4) 如 果 直 到 结束 仍 不 匹配 ， 则 需要 自 定义 数据 。 


4. 调整 解析 器 


如 果 确 定 在 网 络 中 运行 了 非 标准 端口 的 数据 ， 此 时 可 以 在 HITP 协议 的 首选 项 设置 中 
添加 该 端口 。 例 如 , 用 户 想 要 Wireshark 解析 来 自 81 端口 号 的 HITP 数据 。 添 加 过 程 如 下 。 


(1) 在 工具 栏 中 依次 选择 EditlPreferences|ProtocolsIHTTP， 将 显示 如 图 2.23 所 示 


界面 。 


PT 


HDCP2 
HDFS 
HDFSDATA 
HNBAP 
HP_ERM 
HPFEEDS 


Reassemble HTTP headers spanning multple TCP segments: 
Reassemble HTTP bodies spanning multple TCP segments: 
Reassemble chunked transfer-Coded bodies: 
Uncompress entty bodies: 

TO Ports: 

DC 


ICEP 
ICMP 


SSUTLS ports 


Custom HTTP headers feids- 


加 园 辐 固 


80,3128,3132,5985,8080,8088,11371,1900,2869,2710 


443 


EE ] 


Ea) Ewe) Eee | 


图 2.23 HITP 协议 首选 项 


的 
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(2) 在 该 界面 右 侧 ， 可 以 看 到 默认 设置 的 端口 号 。 在 TCP Ports 对 应 的 文本 框 中 ， 添 
加 81 端口 号 。 添 加 完 后 ， 单 击 OK 按钮 。 


2.2.3 设置 Wireshark 显示 的 特定 数据 类 型 


Wireshark 提供 了 首选 项 设置 ,用 户 可 以 根据 需要 进行 设置 ， 如 设置 用 户 接口 、 名 称 解 
析 、 过 滤器 表达 式 。 但 是 只 设置 首选 项 中 的 配置 ， 仍 然 有 些 数据 包 不 能 显示 。 如 果 想 更 详 
细 地 了 解 一 个 数据 包 ， 可 以 设置 Wireshark 特定 的 数据 类 型 。 


1. 用 户 接口 设置 
在 Wireshark 的 工具 栏 中 依次 选择 Edit|Preference， 将 显示 如 图 2.24 所 示 的 界面 。 


fe wg ca 
Wiresharkc Preferences - Profile: Default ”= “0 
Layout Save wndow postion: 园 
Columns Save wndow sze: 园 
Font and Colors Save wd state: 图 
Capture 
Check for updates: -= 闭 
Filter Expressions 
Name Resolution Open a console wndow Never = 
| Pe 
Printing “Fle Open” dalog behavior: 硬 Remember last directory Always start in: 
田 protocols 
DA 我 的 次 )ocuments 
由 se sesacs Drecom: 5 和 麻 \Documnent 
| “Fle Open prevew tmeout: 3 
Maxmum recent 依 ers: ”10 
Maximum recent fjes 10 
Confrm unsaved capture fles: 团 
Wrap to end/begnnng of fle durng a fnd: 团 
Settings dialogs show a save button: 
Welkcome screen and tRie bar shows version Both - 
Auto scrol on expansion: 
Auto scrol percentage: 0 
by Kons n the Expert Infos dalog tab abe: 
ee Soneel 


图 2.24 首选 项 设置 


该 界面 显示 了 3 部 分 设置 ， 分 别 是 User Interface、Protocols 和 Statistics。 在 该 界面 的 
右 侧 框 中 ， 就 可 以 对 用 户 接口 进行 设置 了 。 

2. 开启 名 称 解 析 

在 Wireshark 工具 栏 中 依次 选择 Edit|Preferences|Name Resolution， 将 显示 如 图 2.25 所 
示 的 界面 。 用 户 也 可 以 通过 在 View|Name Resolution 的 下 拉 菜 单 中 开启 相应 的 名 称 解 析 ， 
但 这 个 设置 是 临时 的 。 如 果 想 永久 生效 ， 需 要 在 首选 项 中 设置 。 设 置 后 ， 该 信息 将 被 保存 
在 当前 配置 文件 中 。 
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属 wiresharcpreferences-proflcpct ee 
日 User Interface 一 
Resoe MAC addresses。 团 
Columns Resoe transport names。 加 | 
ond pens Resolve network (IP) addresses: = 目 
Capture 本 
en Use an extemal network name resover。 目 
Enable concurrent DNS name resoution: ”加 
Muing Maxmum concurent requests: -| 500 四 
国 Protocols S a 
i On use the profie "hosts” fle: -加 
Enable OD resouton: 器 
Suppress SMI errors: = 回 
SMI (MIB and PIB) paths: | Edi- 
SMI (MIB and PIB) modules | Edit 
Geolp database drectores: [ Edit… 电 
[up | sppy | [canon 
下 


图 2.25 名 称 解析 设置 


从 该 界面 可 以 看 到 有 3 种 类 型 的 名 字 解 析 可 用 。 这 3 种 名 字 解 析 的 含义 如 下 所 示 。 

口 MAC 地 址 解析 (Resolve MAC address) : 这 种 类 型 的 名 字 解 析 使 用 ARP 协议 ， 
试图 将 数据 链 路 层 MAC 地 址 (如 00:09:5B:01:02:03 ) 转换 为 网 络 层 地 址 (如 
10.100.12.1) 。 如 果 这 种 转换 尝试 失败 ，Wireshark 会 使 用 程序 目录 中 的 ethers 文 
件 尝试 进行 转换 。Wireshark 最 后 的 方法 就 是 将 MAC 地 址 的 前 3 个 字 节 转换 到 设 
备 的 IEEE 指定 制造 商 名 称 ， 例 如 Netgear_01:02:03。 

口 传输 名 称 解 析 (Resolve transport names) : 这 种 类 型 的 名 称 解析 尝试 将 一 个 端口 转 
换 成 一 个 与 其 相关 的 名 称 。 例 如 ， 可 以 将 端口 80 显示 为 http。 

口 网 络 地 址 解析 (Resolve network(P)address) : 这 种 类 型 的 名 称 解析 试图 将 一 个 网 
络 层 地 址 (如 192.168.1.50 这 个 卫 地 址 ) ， 转 换 为 一 个 易 读 的 DNS 名 称 〈 如 
MarketingPC1.domain.com) 。 

如 果 要 开启 名 称 解 析 ， 只 需要 将 相应 名 字 解 析 前 的 复 选 框 勾 上 即 可 。 


3. 过 滤器 表达 式 


在 Wireshark 工具 栏 中 依次 选择 EditlPreferences|Filter Expressions 命令 ， 将 显示 如 图 
2.26 所 示 的 界面 。 


LThe frst let entry wil be dappyed 3s the frst button raht of the Save button - Drag and drop entries to change cm order] 
[Ensblediabel Fiter Expression 
加 ”New Label New Expression 


图 2.26 设置 过 滤器 表达 式 


。43。 


第 1 篇 Wireshark 应 用 篇 


在 该 界面 可 以 通过 单 击 Add 和 Remove 按钮 ， 来 添加 和 删除 过 滤器 。 添 加 用 户 最 想 使 
用 的 显示 过 滤器 ， 这 样 在 捕获 文件 中 可 以 很 好 地 应 用 。 
【实例 2-2】 设置 Wireshark 首选 项 。 具 体操 作 步 又 如 下 所 示 。 
(1) 打开 http.pcapng 文件 。 
(2) 在 Wireshark 工具 栏 中 单 击 襄 (编辑 首选 项 ) 图 标 ,将 显示 如 图 2.27 所 示 的 界面 。 
A wiresharc Preferences - Profile: Default i eo) 


Save wndow postion: ” 团 
Save wndow sze: 园 
Save meameed state: 回 
司 


Check for updates: 


Open a console wndow = Never = 


“Fle open" dalog behavor: 国 Remember last directory Always start in: 
| Drectory: DA 资料 不 \Documents 

“Fle Open preview tmeout 3 

Maxmum recent fers: = 10 

Maxmum recent fles: 10 

Confrm unsaved apture fles: - 团 

Wrap to end/begnning of fie durng a fnd: 团 

Settngs dalogs show 3 save button: 


Wekome screen and tte bar shows verson = Both = 


Auto scroll on expansion: 


Auto sarol percentage: 0 


by cons n the Expert Infos dalog tab bbek: 


图 2.27 编辑 首选 项 


(3) 在 该 界面 修改 Maximum recent filters 和 Maximum recent files 的 默认 设置 ,修改 为 
30。 修 改 这 两 个 设置 后 ， 用 户 能 够 快速 地 调用 更 多 最 近 使 用 过 的 过 滤器 和 文件 。 
(4) 单 击 OK 按钮 ， 将 返回 Wireshark 主 界面 。 


4. 设置 协议 和 应 用 程序 


用 户 可 以 在 首选 项 设置 中 , 查看 Wireshark 包含 的 所 有 可 编辑 设置 的 协议 和 应 用 程序 。 
在 首选 项 设置 中 ， 单 击 Protocols 前 面 的 加 号 (+) ， 即 可 查看 所 有 应 用 程序 和 协议 。 对 于 
定义 协议 ， 最 快 的 方法 就 是 右键 单 击 Packaget Details 面板 中 的 数据 进行 设置 。 

【实例 2-3】 在 Wireshark 主 界面 可 以 使 用 单 击 右键 的 方法 ， 检 查 和 修改 PP、UDP 和 
TCP 设置 。 下 面 介绍 禁用 全、UDP 和 TCP 校 验 验 证 。 有 具体 操作 步骤 如 下 所 示 。 

(1) 这 里 选择 在 Packet List 面板 中 的 19 帧 ， 右 键 单 击 Packet Details 面板 中 的 Internet 
Protocol， 将 显示 如 图 2.28 所 示 的 界面 。 

(2) 将 鼠标 停留 在 该 界面 Intemet Protocol 菜单 的 Protocol Preference 选项 上 ， 将 出 现 
该 选项 的 子 菜单 。 在 该 子 菜单 中 Validate the IPv4 checksum if possible 是 启用 的 ， 则 单 击 该 
选项 将 其 禁用 。 
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| [Wireshark 1107 (v1.107-0-g6b931al from master-110)] ES 
Fe Edt View Go Capture Anayze Statistics Telephony Toos Jntemak Heip 


dd 的 SlIAH 人 中 OF | 国 晶 /QQQEH| 本 加 阳光 | 加 | 
ps [=] Erpression.. Clear Apply Save 


No. Time Time to live Source Destination Protocol Length Info Es 
19 1.070571000 64 192.168.0.104 8.8.8.8 DNS 75 standard query '™| 
24 1.073814000 64 192.168.0.104 8.8.8.8 


DNS 72 Standard query ! ~ 


‘ mm 


田 Frame 19: 75 bytes on wire (600 bits), 75 bytes captured (600 bits) on interface 0 
Ethernet II, Src: Giga-Byt_c8:4c:89 (1c:6f:65:c8: 4c: 9 Dst: Tp-LinkT | 9: 3c: 9 (Ge e8:73: f9:3c:c 


Expand Subtrees 


Expand Al 

Colapse Al 

| Appyas coumn 

| Apply as Fiter 
Prepare a Fiter » 
Colorze with Fiter 上 
Folow TCP Stream 
Folow UDP Stream 

| Folow SSL Stream 

Copy | 

Export Selected Packet Bytes... 


| @ Widprotocolpage 


a ® Flter Feld Reference 
0000 Protocol Help 
Pet protocol Preferences 


0040 6 宰 Decode As… 
| Disable protocol… 
Resove Name 
Go to Corresponding packet 


1.s.<..0 e.L... 国 
* | 茵 Intemet Protocol Version 4 Preferences... 
Y Decode Ipv4 TOS field as Diffserv feld 
Y Reassemble fragmented IPv4 datagrams 
Y Show Ipv4 summary in protocol tree 


Validate the JPv4 checksum f possible 
Y Support packet-capture from IP TSO-enabled hardware 
Y Enable Geolp lookups 
Interpret Reserved flag as Securty flag (RFC 3514) 


Show Packet Reference in New Window 


图 2.28 Internet Protocol 菜单 


(3) 再 次 选择 19 帧 右键 单 击 Packet Details 面板 中 的 User Datagram Protocol， 在 弹出 
的 菜单 中 依次 选择 Protocol Preference|Validate the UDP checksum if possible 命令 , 将 该 选项 
禁用 。 

(4) 在 Packet List 面板 中 选择 59 帧 。 右 键 单 击 Packet Details 面板 中 的 Transmission 
Control Protocol 选项 ， 在 弹出 的 菜单 中 依次 选择 Protocol Preference|Validate the TCP 
checksum if possible 命令 ， 将 该 选项 禁用 。 此 外 ， 还 需要 设置 额外 的 几 个 选项 ， 如 下 所 示 。 

口 禁用 Allow subdissector to reassemble TCP streams 选项 。 

口 启用 Track number ofbytes in flight 选项 。 

口 启用 Calculate conversation timestamps 选项 。 

以 上 3 个 协议 的 含义 如 下 所 示 : 

口 Allow subdissector to reassemble TCP streams: 该 选项 默认 设置 是 启用 的 。 但 是 当 分 

析 HTTP 数据 时 ， 它 可 能 带 来 一 定 的 困扰 。 例 如 ,一 个 HITP 服务 使 用 响应 码 〈 如 
200 OK ) 响应 客户 端 请 求 ， 并 且 它 包括 一 些 请 求 的 文件 包 。 这 时 ，Wireshark 就 不 
能 显示 响应 码 。 相 反 ，Wireshark 将 显示 [TCP Segment of a Reassembled PDU] 〈 协 
议 数据 单元 ) 。 启 用 该 选项 和 不 启用 该 选项 ， 显 示 的 结果 分 别 如 图 2.29 和 图 2.30 
所 示 。 
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图 2.29 启用 TC 


[上 em | 


图 2.30 禁用 TCP 


口 Track number ofbytes in flight: 该 选项 用 来 设置 通过 TCP 连接 发 送 数据 字 节 数 , 但 
还 是 被 认为 “未 确认 的 字 节 ”。 用 户 可 以 配置 Wireshark， 查 看 目前 在 TCP 通信 中 
有 多 少 未 确认 的 数据 。 当 启用 该 选项 后 ， 在 Packet Details 面板 中 一 个 新 的 会 话 将 
被 附加 到 TCP 头 部 。 在 TCP 建立 连接 之 前 ， 这 个 新 字段 将 不 会 显示 。 

口 Calculate coversation timestamps: 该 选项 用 来 在 单个 TCP 会 话 内 ， 设 置 TCP 时 间 
戳 。 这 使 用 户 可 以 获得 基于 单个 TCP 会 话 中 的 第 一 帧 或 单独 TCP 会 话 前 一 帧 的 时 
间 戳 。 当 启用 该 选项 后 ， 在 Packet Details 面板 中 一 个 新 的 会 话 将 被 附加 到 TCP 头 
部 ， 如 图 2.31 所 示 。 


日 [Timesramps] 
[Time since first frame in this TCP Stream: 0.029828000 seconds] 
[Time since previous frame in this TCP stream: 0.000000000 seconds] | 
下 
2 


图 2.31 添加 的 时 间 戳 


(5) 根据 以 上 要 求 设置 完 后 ， 包 显示 的 信息 将 发 生 改 变 。 这 里 单 击 108 帧 ， 展 开 在 
Packet Details 面板 中 的 Transmission Control Protocol Line、SEQ/ACK analysis 和 Timestamps 
会 话 ， 将 显示 如 图 2.32 所 示 的 界面 。 


http.pcapng [Wireshark 1.10.7 (v1.10.7-0-g6b931a1 from master-1.10)] [= 75 wy 


Ee Edt Yew Go Capture Anayze Statstcs Telephony IToos jntemas Hep 
oo0aAlAlDOKSDAH OFT 加 BB QQQDI 田 易 关 | 加 


mer lp eweson Cer oppy soe > 


INo. Time Time to live Source Destination Protocol Length Info 


n » 


五 Frame 103: 291 bytes on wire (2328 bits), 291 bytes captured (2328 bits) on interface 0 加 | 
习 Ethernet II，Src: Tp-LinkT_f' C 0) ,Dst: Giga-Byt. D0 


9 INternet Protocol Version 4 135.185.140), Dst 

© Tranontss on Contru? prococon, Src Port: http (80)" bst pores 3353 C53523), Seqt 1o Ack? 1118, Lens 
Source port: http (80) 
Destination port: 53523 (53523) 
[stream index: 28] 
Sequence number: 1 (relative sequence number) 
[Next Sequence number: 238 (relative sequence number)] 
Acknowledgment number: 1118 (relative ack number) 
Header length: 20 bytes 

Flags: 0x018 (pSH, ACK) 上 

window size value: 64 
[calculated window stze: 8192] 


田 Tehecksun Oxa409 TvaTidstion dtsapTed 


日 [rimesramps] 
[Time since first frame in this TCP stream: 0.029828000 seconds] 
[Time since previous frame in this TCP stream: 0.000000000 seconds] 


00 ic Of 65 ca sc 59 Gc ea 73 fy 3c co OB 00 45 00 
‘0010 ol 15 ba cf 40 00 35 06 dl ef 3d 87 b9 8c cO a8 
0020 00 68 00 50 dl 13 5a b5 a5 al 2f f7 cO Ob 50 18 
0030 00 40 a4 09 00 00 48 54 54 50 2f 31 2e 31 20 32 
lo0s40 30 30 20 4f 4b 0d 0a 43 61 63 68 65 2d 43 6f 6e ..C ache-Con 
0050 74 72 6f 6c 3a 20 70 72 69 76 61 74 65 2c 20 6d trol: pr ivate, m 
0060 61 78 2d 61 67 65 3d 30 2c 20 6e 6f 2d 63 61 63 ax-aqe=0 , no-Cac ix 


||@ | Fie: “C:\Users\Admnistrator\Desktop\htt... | Packets: 394 * ... | Profie: Defauk 


图 2.32 改变 的 TCP 设置 
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2.2.4 使 用 Profile 定制 Wireshark 


Wireshark 有 些 特 定 的 特征 适合 故障 诊断 任务 。 而 某 些 定义 设置 的 特征 , 可 能 适合 网 络 
取证 任务 。Profile 允许 用 户 为 不 同 的 分 析 过 程 定制 单独 的 Wireshark 配置 。 下 面 将 介绍 使 
用 Profile 定制 Wireshark。 


1. 基本 的 Profiles 


Profiles 是 一 个 目录 。 该 目录 中 包含 了 多 个 Profile 目录 。 每 个 Profile 目录 包含 了 
Wireshark 运行 时 加 载 的 配置 和 支持 文件 。 例如， 用 户 可 以 创建 一 个 Profile， 用 来 关注 安全 
问题 。 这 个 安全 的 “Profile” 可 能 包含 有 显示 过 滤器 、 首 选项 设置 以 及 着 色 规则 。 

2. 创建 新 的 Profile 

创建 Profile 有 两 种 方法 ， 如 下 所 示 。 

(1) 右 击 Profile 列 进行 创建 。 


在 Wireshark 界面 的 底部 ， 右 击 Profile 列 ， 将 弹出 如 图 2.33 所 示 的 菜单 。 在 该 界面 单 
击 New 命令 ， 将 显示 如 图 2.34 所 示 的 对 话 框 。 


Create New Profile 


Manage Profiles... 
New... Create from: Default 2 
D Rename "Troubleshooting"... profle name: [Trobleshooting| 
售 Delete "Troubleshooting" 一 
Swtch to ， [coes | 
图 2.33 Profile 菜单 图 2.34 创建 新 的 Profile 


在 该 对 话 框 的 Create from 的 下 拉 列 表 中 选择 可 用 的 Profile， 并 设置 新 建 的 Profile 名 
称 ， 这 里 分 别 设置 为 Default 和 Troubleshooting。 然 后 单 击 OK 按钮 ， 将 看 到 当前 的 Profile 
变 为 Troubleshooting， 如 图 2.35 所 示 。 这 样 ， 我 们 就 基于 Default Profile 创建 了 一 个 新 的 
Profile， 并 命名 为 Troubleshooting。 


|®@ | Fie: “Cusers\Adrministraton Deskt... | Packets: 394 * Displayed: 394 (100.096) ~ Load time: 0:00.097 | 
图 2.35 新 建 的 Profile 


现在 所 有 的 捕获 过 滤器 设置 、 显 示 过 滤器 设置 、 颜 色 规则 和 首选 项 设置 ， 都 将 被 保存 
到 Trobuleshooting Profile 中 。 

(2) 通过 工具 栏 中 的 选项 创建 。 

在 工具 栏 中 依次 选择 EditlConfiguration Profiles 命令 ， 将 显示 如 图 2.36 所 示 的 界面 。 

在 该 界面 可 以 看 到 默认 已 经 添加 的 Profile。 此 时 单 击 New 按钮 ， 将 显示 如 图 2.37 所 
示 的 界面 。 

从 该 界面 可 以 看 到 新 建 的 Profile, 其 默认 的 名 称 是 New profile。 该 名 称 可 以 进行 修改 ， 
设置 成 自己 想 使 用 的 名 称 。 设 置 完 后 ， 单 击 OK 按钮 。 
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Ml Wiresharke Configuration Profiles - Profile: wir.. cll) | 


Ed Configuration profies fl Wireshark: Configuration Profiles - Profile: wir- 
Name + Global Edt Configuration Profies 
[| EE Neme vaiobal 
| 回 [New | Default 回 
Bluetooth 回 Bluetooth 加 
Classic 园 Classic 
Copy [gepy | Trovbleshootion 回 | 


Delete Delete 


Properties Properties 
profie name: Profile name: 
Defauk New profile 


Hielp Eo | apy | (corce! | [ep Ce )][ oopy |]( goret | 


图 2.36 配置 Profiles 图 2.37 新 建 Profile 


2.2.5 ”查找 关键 的 Wireshark Profile 


Wireshark 设置 存储 在 两 个 位 置 ， 分 别 是 global configuration 目录 和 personal 
configuration 目录 。 了 解 Wireshark 的 存储 设置 ， 能 使 用 户 快速 更 改 设置 , 或 者 和 其 他 人 及 
Wireshark 系统 共享 配置 。 

对 于 不 同 的 操作 系统 上 安装 的 Wireshark, 这 些 目录 的 位 置 可 能 不 同 。 用 户 可 以 在 菜单 
栏 中 依次 选择 Help|About Wireshark|Folders 命令 ， 查 看 这 些 目录 的 位 置 ， 如 图 2.38 所 示 。 


FT | 
[wreshark | Authors Folders | pugns | License | 
[Name 4 Folder 4 Typical Files 
"File" dialogs ini: capture files 
Temp 


untded capture file: 


“dfikters", “preferen¢ 


| System “ethers", “ipxnets” 
Program program files 
Personal Plugins gins dissector plugins 
Global Plugins dissector plugins 


图 2.38 Wireshark 的 配置 文件 位 置 
从 该 界面 可 以 看 到 global configuration 和 personal configuration 的 目录 位 置 。 
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【实例 2-4】 下 面 导入 一 个 DNS/HTTP 错误 Profile。 具 体操 作 步 又 如 下 所 示 。 

(1) 从 前 言 中 提供 的 网 址 中 下 载 资源 文件 。 该 Profile 目录 被 压缩 为 一 个 单个 文件 。 

(2) 通 过 选择 Help|About Wireshark|Folders 命令 , 双击 查看 personal configuration folder 
的 目录 结构 。 

(3) 将 Wireshark 创建 的 Profile 目录 , 作为 第 一 个 定义 的 Profile。 如果 没有 看 见 Profiles 
目录 ， 用 户 可 以 手动 创建 一 个 。 打 开 Profiles 目录 ， 如 图 2.39 所 示 。 


es 
GO sppos » Rooming » Wireshark » ETT 
EC 
ER 。 演 打 开 。 包 仿 到 志 中 "共享" 到 杂 » #» © 
wnRAR “ a 修改 日 期 
Wh Wiresherk BE profies 2014/6/13 14: 
WB profles 口 cfikers 2014/5/10 17:0| 
xunkei _ preferences 2014/6/13 119 
县 youm recent 
me I Drecentcommon 
县 下 
Eee 可 ， 
profiles 
文件 闪 
停 必 日 也 2014/6/13 14:22 


图 2.39 Profiles 目录 


(4) 解压 httpdnsprofile.zip 文件 ， 进 入 该 文件 将 看 到 有 一 个 名 为 HITP-DNS_Erros 的 


目录 。 将 该 目录 移动 到 Profiles 目录 中 。 «Defauk 
(5) 返回 到 Wireshark， 单 击 Profile 列 ， 将 显示 如 图 2.40 所 示 的 | nrons_enos 
界面 。 党 


(6) 在 该 菜单 栏 中 ， 选 择 HTTP-DNS_Errors profile 测试 新 建 的 Eeepseog 
Profile。 ne 
(7) 此 时 打开 一 个 捕获 的 文件 ， 将 看 到 使 用 了 新 建 的 Profile 图 2.40 Profile 列 
HTTP-DNS_Errors， 效 果 如 图 2.41 所 示 。 
人 htperorepr le 


Ele Edt Yew Go Capture Anayze Statstcs Telephony Ioos Intemas Hep 
ER 


~ De oo wm [aaa] 


Br CUsers\AdrmmetatoN Dot | Pckets: 234 * Deplyed: .Profle HTTP DNS Erors | 


图 2.41 Profile HTTP-DNS Errors 
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(8) 从 该 界面 可 以 看 到 在 显示 过 滤 区 域 ， 增 加 了 HITPErrs 和 DNSErrs 两 个 按钮 。 
2.3 数据 包 时 间 延 迟 


数据 包 时 间 延 迟 是 指 一 个 数据 包 从 用 户 的 计算 机 发 送 到 网 站 服务 器 ， 然 后 再 立即 从 网 
站 服务 器 返回 用 户 计算 机 的 来 回 时 间 。 存 在 这 种 时 间 延 迟 是 不 可 避免 的 ， 本 节 将 介绍 数据 
包 时 间 延 迟 的 原因 及 类 型 。 


2.3.1 时 间 延 迟 


延迟 是 用 于 定义 时 间 延 迟 的 一 种 衡量 。 当 一 个 主机 发 送 一 个 请 求 并 等 竺 回复 时 ， 总 有 
一 些 延 迟 。 如 果 延 迟 的 时 间 过 长 ， 可 能 是 路 径 或 端点 导致 的 问题 。Time 和 Info 列 可 以 查 
看 延迟 的 3 种 类 型 一 一 线路 延迟 、 客 户 端 延迟 和 服务 器 延迟 。 下 面 分 别 介绍 延迟 的 这 3 种 
类 型 。 


1. 线路 延迟 的 显示 和 原因 


线路 延迟 通常 被 称 为 往返 时 间 (RTT) 延迟 。 根 据 数据 包 传输 的 特性 ， 可 以 判断 是 否 
是 线路 延迟 。 当 服务 器 收 到 一 个 SYN 数据 包 时 ， 由 于 不 涉及 任何 传输 层 以 上 的 处 理 , 发送 
一 个 响应 只 需要 非常 小 的 处 理 量 。 即 使 服务 器 正 承 受 巨 大 的 负载 ,通常 也 会 迅速 地 向 SYN 
数据 包 响 应 一 个 SYN/ACK， 这 样 就 排除 了 服务 器 导致 高 延迟 的 可 能 性 。 同 时 也 可 以 排除 
客户 端 高 延迟 的 可 能 性 。 因 为 它 在 此 时 除了 接收 SYN/ACK 数据 包 以 外 什么 也 没 做 。 这样 ， 
就 可 以 确定 是 属于 线路 延迟 。 

线路 延迟 可 能 是 由 一 些 基础 设施 设备 造成 的 ， 如 企业 路 由 器 。 当 在 一 个 网 络 上 存在 瓶 
颈 的 时 候 ， 也 可 能 造成 路 径 延 迟 和 数据 包 丢 失 。 如 图 2.42 所 示 ， 当 用 户 发 送 SYN 包 时 ， 
开始 建立 TCP 连接 。 如 果 在 收 到 服务 器 返回 的 SYN/ACK 数据 包 之 前 有 很 长 的 延迟 ， 则 说 
明 是 受到 线路 延迟 影响 数据 通信 。 

在 Wireshark 中 ， 通 过 查看 TCP 三 次 握手 9 > 

[RT] 


可 以 看 到 线路 延迟 。 在 SYN-ACK 包 发 送 之 前 ， : oi 
查看 客户 端 并 观 察 客户 端 向 服务 器 发 送 SYN 数 Me——— Mi 


据 包 。 ， 
2. 客户 端 延迟 的 显示 和 原因 A 


客户 端 延迟 通常 是 由 用 户 、 应 用 程序 或 缺乏 足够 的 资源 造成 的 。 有 自然 的 “人 为 ” 延 
迟 〈 当 等 待 用 户 单 击 屏幕 上 的 东西 时 ) ， 但 并 不 是 所 有 都 是 用 户 人 为 造成 的 。 用 户 应 该 查 
找 行动 迟缓 的 应 用 程序 造成 的 客户 端 延迟 。 

在 3 种 延迟 类 型 中 ， 客 户 端 延迟 是 最 常见 的 一 种 。 大 多 数 应 用 程序 都 加 载 在 服务 器 端 
通信 。 然 而 ， 如 果 碰 巧 有 一 个 应 用 程序 加 载 在 客户 端 和 服务 器 之 间 ， 那 么 必须 考虑 客户 端 
的 响应 时 间 。 如 图 2.43 所 示 ， 就 是 一 个 客户 端 延 迟 的 例子 。 

当 客 户 端 发 送 TCP 三 次 握手 最 后 一 个 ACK 包 给 服务 器 时 ， 同 时 也 向 服务 器 发 送 了 一 
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个 请 求 ， 但 是 该 请 求 的 速度 较 慢 ， 服 务 器 只 响应 了 客户 端的 确认 包 ， 无 法 响应 客户 端 发 送 
的 请 求 。 


3. 服务 器 延迟 的 显示 和 原因 


服务 器 延迟 发 生 在 服务 器 缓慢 响应 发 送 来 的 请 求 时 。 这 可 能 是 因为 服务 器 无 法 处 理 一 
个 错误 的 应 用 程序 或 受 其 他 类 型 干扰 ， 需 要 请 求 另 一 个 服务 器 来 处 理 该 问题 。 这 样 将 会 导 
致 服务 器 延迟 响应 。 如 图 2.44 所 示 是 服务 器 延迟 的 例子 。 


W 


KE DATA REQUEST 

ACK > 和 
= RESPONSE 

~¥ REQUEST Ye es: 


图 2.43 客户 端 延迟 图 2.44 服务 器 延迟 


4. 延迟 定位 框架 


上 面 根据 数据 包 成 功 地 定位 了 从 客户 端 到 服务 器 的 网 络 高 延迟 的 原因 。 为 了 更 快速 地 
解决 延迟 问题 ， 下 面 使 用 图 解 的 形式 进行 介绍 ， 如 图 2.45 所 示 。 


客户 端 SYN > 服务 器 
1l< SYN/ACK 
ACK > 
加 | 7 层 协议 请 求 > 
1 上 < ACK 
BBB]< 一 一 一 7 层 协 议 数 据 


图 2.45 判断 延迟 问题 


在 该 图 中 ， 数 字 1 表示 线路 延迟 ， 数 字 2 表示 客户 端 延迟 ， 数字 3 表示 服务 器 延迟 。 
结合 前 面 介绍 的 数据 包 ， 可 以 使 用 这 张 图 快速 地 解决 自己 的 延迟 问题 。 


2.3.2 ”检查 延迟 问题 


默认 时 间 列 的 设置 类 型 为 Seconds Since Beginning of Capture。 其 实 ，Wireshark 标志 的 
第 一 个 数据 包 的 捕获 时 间 是 0.000000000。 对 于 第 一 个 包 后 的 每 个 包 的 时 间 列 值 ， 都 显示 
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的 是 捕获 过 程 经 过 多 长 时 间 捕 获 到 的 。 用 户 可 以 依次 选择 View|Time Display 
Format|Seconds Since Previous Displayed Packet 命令 ， 查 看 到 差 量 时 间 最 高 的 值 ( 从 一 个 数 
据 包 到 下 一 个 包 ) 。 设 置 完成 后 ， 该 设置 信息 将 被 保存 在 正在 使 用 的 Profile 中 。 
以 上 设置 完成 后 ， 单 击 Time 列 两 次 ， 将 从 高 到 低 按时 间 进 行 排序 。 如 图 2.46 所 示 ， 
该 界面 显示 了 设置 Time 列 后 的 排序 形式 。 
“hetperorpeapng Wireshark1107 wL107.0.g6be3lalfrommeserllml | 


Ele Edt Vew Go Capture Anayze Statstics Telephony Ioos Intemas Hep 
外 @ 逢 着 达 | 巴 外 多 人 9 中 于 和 业 | 国 国 Q@eQDI 机 加 遇 共 | 加 


0 es captured (480 bits) on int' i 
:50:56:e9:af:47), Dst: Vmware_83: i odtGct29:83:ac i 


| Packets: 234 * 和 -可 [一 上 EN 


图 2.46 ”时间 排序 


从 该 界面 可 以 看 到 http-errorpcapng 文件 的 时 间 列 ， 是 从 高 到 低 排序 的 。 
下 面 以 http-error.pcapng 捕获 文件 为 例 ， 通 过 过 滤 查 看 TCP 协议 的 数据 包 ， 来 判断 时 
间 延 迟 的 问题 。 如 下 所 示 。 
(1) 打开 http-error.pcapng 捕获 文件 。 
(2) 查看 TCP 协议 的 数据 包 ， 如 图 2.47 所 示 。 
属 http-erorpcapng IWireshark1107 (v1107-0-96b931alfrom master-110)] 
Ele Edt Vew Go Capture Anayze Statistics Telephony Ioos Jntemak Hep 
四 加 站 面 大 | 巴巴 其 匈 | 信 提 中 国 于 和 业 | 辕 加 el 本国 昂 尖 | 加 
ml ewww ee wy 
- Time to live Source Destination Protocol Length Info 


INo. 


Time 


\@ | Fie: “C:\Users\Administraton\Deskt... | Packets: 234 - Displayed: 75 (32.1%) * Load time: 0:00.165 | Profie: Trobleshooting 


2.47 捕获 文件 的 数据 包 
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(3) 从 该 界面 可 以 看 到 TCP 的 三 次 握手 过 程 。 其 中 61、62、63 为 TCP 的 三 次 握手 ， 
这 3 个 数据 包 中 时 间 延 迟 最 长 的 是 62。62 包 为 TCP 的 第 二 次 握手 ， 也 是 服务 器 发 送 的 确 
认 包 。 该 捕获 文件 是 在 客户 端 上 的 ， 由 此 可 以 判断 出 这 是 一 个 路 径 延 迟 。 


2.3.3 检查 时 间 差 延迟 问题 


在 首选 项 中 设置 Protocols|TCP 协议 ， 启 用 Calculate conversation timestamps 选项 ， 并 
设置 使 用 默认 的 Profile。 设 置 完 成 后 ， 现 在 来 学 习 如 何 创建 一 个 时 间 差 列 。 添 加 TCP 时 间 
差 列 ， 具 体操 作 步 又 如 下 所 示 。 

(1) 展开 TCP 头 部 ， 右 击 Time since previous frame in the TCP stream 部 分 ， 并 选择 
Apply as Column 命令 ， 如 图 2.48 所 示 。 


属 htp-erorpcapng MWireshark1107 wlL107-0-g6b9ilalfommasterlll [ee 


Expand Subtees 一 一 
Epand AM 
erevor vou pum 
Expression。 Clear Apply Save » 
sd 党 teTce a 
Coprgs weh Far » 
cp 60 0.012179000 
让 54 0.000044000 
Folow sa sueam 一 -一 一 一 > 
TOU Ce Or CsI Copy 和 
Destination por1 Eport Selected packet Bytes… | 
[Stream index: ( 
Sequence number @ Wi protocolPaoe 
Header 1 h: «® FRer Fe Refarence 
b protocol He sl 
Window size val! ProtocolPpreferences [1 
[calculared winl 
Checksun: 0xd76! W Decode Na 日 
团 options: (20 byl W Oable Protocol rmitted, Timestamps, No-Operation (NOP), W 
S [Timesranps] Besobe hame | 
[Time since 下 


go m Comespondng packat 0000000 seconds] 有 
Show Packet Referer ce n New Winndomw = 


图 2.48 添加 列 


(2) 从 该 界面 可 以 看 到 ， 在 Packet List 面板 中 新 添加 了 一 列 。 新 添加 的 列 名 太 长 ， 将 
该 名 重 命 名 。 右 击 新 添加 的 列 名 ， 并 选择 Edit Column Details 命令 ， 如 图 2.49 所 示 。 单 击 
Edit Column Details 命令 后 ， 将 显示 如 图 2.50 所 示 的 界面 。 


S00Al 人 OSes+ 和 oF 回国 aaaml 妆 ev%| 


options: (20 bytes), Naximun segnent size, SACK Permirted，Tiaesra 
S [Timestanps 
[Time since First frane in this TCP stream: 0.000000000 seconds] @ nemove Colrm 


|® WTrne deta fom prevous farme n ... Packets. 234- Depiaret: 75 (32.1%) Load trve: :00.156 | Profie: De 


图 2.49 编辑 列 
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(3) 这 里 将 原来 的 名 称 修改 为 TCP Delta， 如 图 2.50 所 示 。 然 后 单 击 OK 按钮 ， 将 显 
示 如 图 2.51 所 示 的 界面 。 
笨 http-errorpcapng [Wireshark 1107 (vL.107-0-g96b931al from masterl10 


Fle Edt View Go Capture Anayze Statistics Telephony Toos Intemas Hep 
全 加 着 本 芝 | 马 四 X 念 | 以 多 四 了 和 | 辐 国 |QQDI 莉 四 网 关 | 台 


Fiker | 加 | Expression.. Clear Apply » 

No. Time Source Destination Protocol Length Info la 

219 1.682576000 61.135.185.194 192.168.41.156 TCP 60 了 5<000 http > 330.,= 
223 0.453140000 192.168.41.156 221.204.160.40 TCP 54 5.917439000 55670 > ht 
66 0.016637000 61.135.169.125 ”192.168.41.156 HTTP 606 0. 016637000 HTTP/1.1 21 
141 0.013317000 123.125.114.101 192.168.41.156 HTTP 333 0. 013900000 HTTP/1.1 2! 
62 0.012179000 61.135.169.125 192.168.41.156 TCP 6560 0. 012179000 http > 565; 
109 0. 011265000 61.135.185.194 192.168.41.156 HTTP 1514 0.011265000 HTTP/1.1 2 
105 0.010533000 61.135.185.194 192.168.41.156 Tcp 60 0.010533000 http > 330; 


135 0.005946000 123.125.114.101 192.168.41.156 TCP 60 0.011141000 http > 436 
125 0. 000916000 221.204.160.40 192.168.41.156 TCP 60 0.002448000 hrrp > 556' 
107 0.000629000 192.168.41.156 61.135.185.194 HTTP 549 0. 000629000 GET /passAl 
139 0.000557000 123.125.114.101 192.168.41.156 TCP 60 0.011648000 http > 436 
76 0.000279000 61.135.169.125 192.168.41.156 HTTP 1514 0.000279000 和 = 


TE 7 


@ | Fle: "C:\Users\Administrator\Deskt... | Packets: 234 * Displayed: 75 (32.196) * Load time: 0:0... | profie: Defaukt 
一 -一 -一 一 


图 2.51 TCP Delta 列 


(4) 从 该 界面 可 以 看 到 列 名 已 经 被 成 功 修改 。 

现在 来 观察 一 下 ，Time 列 和 TCP Delta 列 之 间 的 差异 。 如 图 2.52 所 示 ， 将 
http-error.pcapng 文件 中 新 建 的 TCP Delta 列 移动 到 已 存在 的 Time 列 右边 。 将 Time 列 从 高 
到 低 排序 ， 查 看 Time 列 和 TCP Delta 列 之 间 的 差异 。 


属 http-erorpcapng [Wireshark1107 (vi107-0-96b9313l from master-110)] | 


Ee Edt Vew Go Capture Anayze Statstkxs Telephony Tooks Intermas Hep 
OO 和 几 拓 | 户 且 关 包 | 人 外 中 国定 入 和 Q 和 加 1 醒 加 蝎 区 » 
[=] rpression.. Cheer Appy 
Source Destination Re Info < 
61.135.185.194 192.168.41.156 hrrp > 33023 [FIN, 司 
192.168.41.156 221.204.160.40 55670 > http [FIN,™ 
61.135.169.125 192.168.41.156 
123.125.114.101 192.168.41- 156 


123.125.114.101 192.168.41.156 hrrp > 43637 [SYN, 
0.002448000 221.204.160.40 192.168.41.156 http > 55668 [SYN, 
0.000629000 192.168.41.156 61.135.185.194 GET /passApi/js/un 
000| 0.011648000 123.125.114.101 192.168.41.156 http > 43638 [SYN, 
Of 0.000279000 61.135.169.125 192.168.41.156 Continuation or no ~ 


| 上 


ee 

HTTP 

HTTP 
61.135.185.19 41. HTTP HTTP/1.1 200 OK 
61.135.185.194 192: 168.41. 156 TCP http > 33023 [SYN, 

TP 

Tp 

HTTP 

TCP 

HTTP 


.| Packets: 234 * Displayed: 75 (32.1%) * Load tme: 0... | Profie: Default 


图 2.52 ”比较 Time 和 TCP Delta 列 


从 该 界面 可 以 看 到 ，Time 列 进行 了 排序 。 接 下 来 ， 需 要 对 TCP Delta 列 进行 排序 。 在 
对 TCP Delta 列 排序 之 前 ， 先 找 出 每 个 TCP 会 话 的 延迟 。 然 后 ， 考 虑 下 为 什么 有 些 延 迟 被 
认为 是 正常 的 。 

不 要 专注 于 某 些 分 组 类 型 ， 它 们 延迟 是 正常 的 。 如 下 所 示 。 

口 .ico file requests: 该 包 表 示 打 开 浏 览 器 时 ， 在 浏览 标签 上 的 一 个 图 标 。 
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口 


口 


此 


SYN packets: 该 包 是 用 来 建立 TCP 连接 的 。 该 包 第 一 次 捕获 到 后 ， 将 会 让 用 户 连 
接 到 一 个 Web 服务 器 。TCP 连接 的 第 一 个 包 前 (SYN 包 ) ， 会 有 一 个 延迟 。 
FIN，FIN/ACK，RST or RST/ACK packets: 该 包 是 用 来 终止 TCP 连接 的 。 当 用 户 
单 击 另 一 个 标签 或 最 近 没有 访问 一 个 网 站 ， 或 浏览 会 话 配置 加 载 页 面 后 自动 关闭 
时 ， 浏 览 器 将 发 送 这 些 包 。 
GET requests: 当 用 户 单 击 请 求 下 一 个 页 面 的 连接 时 ， 生 成 该 包 。 其 他 时 候 ， 一 些 
GET requests 可 能 由 后 台 进 程 启动 (如 .ico 文件 GET 请 求 ) 。 
DNS queries: 该 包 是 在 一 个 Web 浏览 会 话 期 间 ， 在 不 同时 间 发 送 的 ， 如 许多 个 超 
链接 在 客户 端 上 加 载 同 一 个 页 面 时 。 
TLSvl encrypted alerts: 该 包 通常 是 在 关闭 连接 过 程 前 看 到 的 〈TCP 重 置 ) 。 即 使 
加 密 ， 但 此 警报 可 能 是 一 个 TLS 关闭 请 求 。 

时 将 TCP Delta 列 从 高 到 低 排序 ， 如 图 2.53 所 示 。 


(hetperorpeapng Wieshakl107 wL107.0.96b931a1 fom master-110) el) 


No. Time TCP Dekta Y Source Destination Protocol Info 书 
| 226 0.000084000 5.918220000 192.168.41.156 221.204.160.40 TCP 55667 > http [FIN, pas 


@ | Fie: "C:\Users\Administrator\Deskt... | Packets: 234 * Displayed: 75 (32.1%) * Load time: 0:00.155 | Profile: Defaut 


Ele Edt Vew Go Capture Anayze Statstics Telephony Took Intemas Hebp 
ea 委 关 和 | 它 人 牛人 多 | 人 向 守 晤 守业 和 已 和 上 口 | 本 国 罗 基 | 加 
Fiker 四 epressor。 Clear Apply 


225 0.000055000 5.918186000 192.168.41.156 221.204.160.40 
224 0.000118000 5.917841000 192.168.41.156 221.204.160.40 
223 0.453140000 5.917439000 192.168.41.156 221.204.160.40 
229 0.000026000 5.907608000 192.168.41.156 123.125.114.101 
219 1. 682576000 5.074262000 61.135.185.194 192.168.41.156 

66 0.016637000 0.016637000 61.135.169.125 192.168.41.156 
141 0.013317000 0.013900000 123.125.114.101 192.168.41.156 

62 0.012179000 0.012179000 61.135.169.125 192.168.41.156 
139 0.000557000 0.011648000 123.125.114.101 192.168.41.156 
109 0.011265000 0.011265000 61.135.185.194 192.168.41.156 
135 0.005946000 0.011141000 123.125.114.101 192.168.41.156 
5 0.010533000 0O.010533000 61.135.1R5.194 197.168.41.156 

4 站 


55668 > http [FIN, ACK] 
55669 > http [FIN, ACK] 
55670 > http [FIN, ACK] 
43638 > http [FIN, ACK] 


HTTP/1.1 200 OK (text/ 

http > 43637 [SYN, ACK] 

hrrn > 33073 [SYN. ack] ™ 
' 


EEEEEEEEEEE 
: 
S 
呈 


从 
它们 的 


图 2.53 TCP Delta 排序 


该 界面 可 以 看 到 前 6 个 包 都 是 FIN/ACK 包 ， 这 几 个 包 出 现 延 迟 是 正常 的 。 而 且 ， 
延迟 时 间 较 长 。 
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捕获 过 滤器 用 于 决定 将 什么 样 的 信息 记录 在 捕获 文件 中 。 在 使 用 Wireshark 捕获 数据 
时 ， 捕 获 过 滤器 是 数据 经 过 的 第 一 层 过 滤器 ， 它 用 来 控制 捕获 数据 的 数量 。 通 过 设置 捕获 
过 滤器 ， 可 以 避免 产生 过 大 的 捕获 文件 。 本 章 将 介绍 使 用 捕获 过 滤器 的 技巧 。 


3.1 捕获 过 滤器 简介 
使 用 Wireshark 的 默认 设置 捕获 数据 时 ， 会 产生 大 量 的 元 余 信息 ， 导 致 用 户 很 难 找到 


自己 需要 的 部 分 。 这 时 可 以 使 用 捕获 过 滤器 来 控制 捕获 数据 的 数量 。 捕 获 过 滤器 的 设置 界 
面 如 图 3.1 所 示 。 


{ @ Wiresharic Capture Options 一 > 一 
EE oO 
Capture Interface Lnk-layer header Prom. Mode Snaplen [B] Buffer [MiB] Capture Fiker ~ 
本 地 连接 2 加 
加 te80-c5s272ce40bb6005 Ethernet enabled default 2 
0000 | 
FTE 
本 到 
站 Capture on all interfaces 加 aa 
园 use promiscuous mode on al interfaces 
© 日 
Capture Fles Dsplay Options [5) 
Fle: [DAtraces\capture.pcapng @ Update ist of packets in real time | 
园 Use mukiple fles 加 Use pcap-ng format i 
园 Next file every 100 S| megabyte(s) 国 
Neafieevery [10 上 [Eee 口 加 de cepare info dislog 
| 回 wnobuterwh [5 3 fies Name Resolution @ 
stop capture after |1 3 fiels) 回 Resoke MAC addresses 
Stop Capture Automaticaly After 个 四 et 
四 |: 习 pacdkeetfs) 
本 一 加 Resolve transport-layer name 
1 3 |megsbyte(s) | | 
li 目 mwea |] Use external network name resolver 
| Cs 


图 3.1 捕获 选项 


在 该 图 中 ， 每 部 分 的 含义 如 下 所 示 。 
口 Interface 列表 : 选择 一 个 或 多 个 接口 〈 捕 获 多 个 适配器 ) 。 
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口 Manage Interfaces 按钮 : 单 击 该 按钮 可 以 添加 或 删除 接口 。 
口 Capture Filter 下 拉 列 表 : 显示 被 应 用 的 捕获 过 滤器 (双击 可 以 修改 、 删 除 或 添加 捕 
获 过 滤器 ) 。 
口 Capture File(s) 选 项 框 : 设置 保存 多 个 文件 、 循 环 缓冲 区 大 小 和 基于 文件 数量 自动 
停止 的 条 件 。 
口 Display Options 选项 框 : 设置 捕获 数据 时 ， 自 动 滚动 显示 捕获 的 数据 包 。 
口 Stop Capture 选项 框 : 设置 自动 停止 条 件 ， 如 基于 包 数 、 数 据 捕获 的 数量 或 运行 
时 间 。 
口 Name Resolution 选项 框 : 为 MAC 地 址 、IP 地 址 和 端口 号 启动 /禁用 名 称 解析 。 
当 以 上 捕获 选项 设置 完成 后 ， 就 可 以 单 击 Start 按钮 捕获 数据 了 。 捕 获 数据 保存 时 ， 
Wireshark 的 图 标 显 示 为 绿色 ， 如 图 3.2 所 示 。 


© 肥 Capturing from 本 地 连接 (Port 53) [Wireshark 1107 (v110.7-0-g6b931al from master-110)] 
He Edt Vew Go Capture Anayze Statstics Telephony Toos jntemaks Hep 
日 国 着 硬 六 | 让 白光 人 多 | 人 外国 守业 | 国 国 QQQ 芒 加 阳 凑 
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图 3.2 ”Wireshark 运行 界面 


3.2 选择 捕获 位 置 


使 用 Wireshark 分 析 网 络 数据 时 ， 首 先 要 确认 Wireshark 捕获 数据 的 正确 位 置 。 如 果 没 
有 在 正确 的 位 置 启动 Wireshark, 则 导致 用 户 可 能 花费 很 长 的 时 间 处 理 一 些 与 自己 无 关 的 数 
据 。 所 以 在 使 用 Wireshark 之 前 ， 需 要 确认 它 的 位 置 。 

如 图 3.3 所 示 ， 该 图 代表 了 一 个 简单 的 网 络 环境 。 在 捕获 过 程 中 ， 可 以 检测 到 往返 延 
迟 时 间 、 丢 包 、 错 误 信 息 及 其 他 主机 之 间 传 输 的 问题 。 如 果 在 捕获 过 程 中 ， 发 现 访问 网 页 
速度 慢 ， 则 说 明 Wireshark 捕获 工具 可 能 是 来 自 客户 端 。 


尽 可 能 在 主机 上 
启动 捕获 工具 


图 3.3 捕获 工具 的 位 置 


当 出 现 以 上 的 情况 时 ， 就 需要 考虑 将 Wireshark 捕获 工具 移动 到 其 他 位 置 。 如 发 现 大 


yA 
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量 丢 包 时 ,可 以 在 路 由 器 或 交换 机 上 开启 Wireshark 工具 ， 以 确定 哪个 设备 存在 大 量 丢 包 。 
3.3 选择 捕获 接口 
在 使 用 Wireshark 捕获 数据 前 ， 首 先 要 选择 捕获 接口 。 在 一 台 计 算 机 上 可 能 存在 多 个 
网 卡 , 包括 有 线 和 无 线 网 卡 。Wireshark 可 能 无 法 检测 到 所 有 的 本 地 接口 和 远程 可 用 的 网 络 
接口 ， 只 能 列 出 可 用 的 网 络 接口 。 本 节 将 介绍 如 何 选择 捕获 接口 。 
3.3.1 判断 哪个 适配器 上 的 数据 


在 工具 栏 中 单 击 加 按钮 或 在 菜单 栏 中 依次 选择 CapturelInterfaces 命令 ， 可 以 快速 地 判 
断 哪个 接口 捕获 数据 和 每 个 接口 连接 的 网 络 。 捕 获 接口 界面 ， 如 图 3.4 所 示 。 


aeecen 


Device Descrption 了 Packets Packets/s 
加 网 本 地 连接 3 VMware Vitual Ethemet Adapter fe80::ad44:d27f:44bb:8416 0 


回 网 本 地 连接 4 VMware Virtual Ethemet Adapter fe80::7cf6:f806:deb1:d423 ”5 


回 加 本 地 连接 2 Reaktek RTL8139/810x Family F...t NIC fe80::c5a2:72ce:40bb:6005 0 
回 ] 四 本 地 和 连接 。 Reaktek PCle GBE Famiy Controler fe80::40fa:dfed:94b:fedb 。 96 


es | Be 


图 3.4 捕获 接口 


如 果 主 机 使 用 了 双 协 议 栈 (IPv4 和 IPv6) ，Wireshark 默认 将 显示 每 个 适配器 的 IPv6 
地 址 。 如 果 存 在 IPv4 地 址 ， 单 击 IPv6 地 址 将 可 以 看 到 IPv4 地 址 (以 本 地 连接 为 例 ) ， 如 
图 3.5 所 示 。 


因 网 本 地 连接 3 VMware Vrtual Ethemet Adapter fe80::ad44:d27f:44bb:8416 
回 ] 内 天线 网 络 连 接 Microsoft fe80::686f67fe:4c51:d0ec 
回 氏 本 地 连接 4 。 VMware Vitual Ethemet Adapter fe80::7cf6:f806:deb1:d423 


加 四 本 地 连接 2 。 Reakek RTL8139/810x Famiy F.t NIC fe80::c5a2:72ce:40bb:6005 
四 本地 和 连接。 Reakek PCle GBE Famiy Controler 


Start Stop 


图 3.5 JPv4 地 址 显示 


从 该 界面 可 以 看 到 本 地 连接 接口 的 了 由 IPv6 的 地 址 〈fe80::40fa:dfed:94b:fpdb) 变 成 
了 IPv4 地 址 (192.168.0.105) 。 
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如 果 想 捕获 某 个 接口 上 的 数据 , 只 需 将 图 3.4 中 设备 前 面 的 复 选 框 勾 上 , 然后 单 击 Start 
按钮 ， 将 开始 捕获 该 接口 上 的 数据 。 


3.3.2 ”使 用 多 适配器 捕获 
从 Wireshark 1.8 开始 ， 可 以 同时 捕获 两 个 或 更 多 个 接口 。 如 果 想 要 同时 捕获 有 线 和 无 


线 网 络 数 据 ， 这 个 功能 是 有 用 的 。 例如， 如 果 用 户 正 试图 解决 在 网 络 上 的 WLAN 客户 端的 
问题 ， 可 以 同时 捕获 客户 端的 WLAN 适配器 和 无 线 网 络 ， 如 图 3.6 所 示 。 


图 3.6 ”同时 捕获 有 线 和 无 线 数据 


3.4 捕获 以 太 网 数据 


用 户 可 以 使 用 多 种 方法 来 捕获 以 太 网 上 的 数据 。 尽 管 有 多 种 方法 ， 但 并 不 都 是 最 有 效 
的 方法 。 最 有 效 的 捕获 方法 有 3 种 ， 分 别 是 直接 在 主机 上 捕获 数据 、 映 射 主机 的 交换 端口 
和 设置 一 个 测试 访问 点 。 下 面 将 分 别 介绍 这 3 种 方法 。 

第 1 种 : 直接 在 主机 上 捕获 数据 

如 果 在 主机 上 安装 捕获 工具 ,这 可 能 是 最 好 的 选择 ,这样 用 户 可 以 不 用 安装 Wireshark， 
使 用 一 个 简单 的 包 捕获 工具 (如 tcpdump) 就 可 以 了 ， 如 图 3.7 所 示 。 

第 2 种: 端口 映射 

如 图 3.8 所 示 ， 该 图 中 的 交换 机 支持 端口 映射 ， 并 且 用 户 有 权 配 置 交 换 机 和 设置 交换 
机 来 复制 所 有 数据 到 用 户 交 换 端口 下 的 Wireshark 端口 。 然 而 ， 需 要 注意 的 一 个 问题 是 ， 
交换 机 不 会 向 链 路 层 发 送 错误 数据 包 ， 所 以 可 以 不 看 性 能 相关 的 所 有 数据 。 


目标 目标 
图 3.7 在 主机 捕获 数据 图 3.8 映射 主机 的 交换 端口 
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第 3 种 : 设置 一 个 测试 访问 点 〈TAP) 

测试 访问 点 是 全 双 工 设备 ， 它 安装 在 主机 和 交换 机 之 间 ， 如 图 3.9 所 示 。 默 认 情况 下 ， 
测试 访问 点 向 前 发 送 所 有 网 络 数据 ， 包 括 链 路 层 错误 。 尽 管 测试 访问 点 可 能 是 昂贵 的 ， 如 
果 用 户 想 监听 所 有 流量 或 来 自 一 个 主机 的 流量 ， 它 们 可 以 节约 大 量 的 时 间 。 


目标 


图 3.9 设置 测试 访问 点 


3.$ ”捕获 无 线 数据 


使 用 Wireshark 捕获 无 线 网 络 数据 ， 可 以 帮助 用 户 了 解 无 线 网 络 怎样 工作 和 分 析 家 庭 
网 络 性 能 慢 的 原因 。 如 果 要 捕获 无 线 网 络 数据 ， 捕 获 之 前 需要 做 些 准备 工作 。 例 如 ， 确 定 
无 线 局 域 网 适配器 是 否 正 运行 在 Wireshark 上 。 本 节 将 介绍 捕获 无 线 网 络 数据 。 


3.5.1 捕获 无 线 网 络 数据 的 方式 


无 线 网 络 数据 捕获 方式 类 似 于 以 太 网 数据 捕获 ， 只 是 端口 选择 不 同 。 下 面 简要 介绍 
二 下 
【实例 3-1】 捕 获 无 线 局 域 网 适配器 数据 。 有 具体 操作 步骤 如 下 所 示 。 
(1) 在 工具 栏 中 依次 选择 Capture|Imterfaces 命令 ， 将 显示 如 图 3.10 所 示 的 界面 。 


PRC 


Device Descrpton 了 Packets Packets/s 

回想 到 要 3 。 VMware Virtual Ethemet Adapter feB0::ad44:d27f:44bb:8416 = 1 1 (Betais) 

团 办 无线 网 络 连接 “Microsoft fe80:-686f67 他 :4c5l:d0ec 5 4 

回 员 本 地 连接 4 VMware Vitual Ethemet Adapter fe80::7cf6:fe06:debl:d423 1 1 [Beais] 

固 内 本 地 连接 2 。 Reakek RTL8139/810x Famiy F...t NIC fe80::c5a2:72ce:40bb:6005 0 0 [Deeais| 

| | 可 办 本 地 和 连接。 Reakek PCle GBE Famly Controler fe80::40fa:dfed:94b:fodb 45 8 [Detais] 
| 

| Bs a [| (Ee 


图 3.10 ”捕获 接口 


(2) 从 该 界面 可 以 看 到 有 一 个 无 线 网 络 适配器 ， 在 该 界面 选择 无 线 网 络 连接 接口 的 复 
选 枉 ， 如 图 3.10 所 示 。 然 后 单 击 Start 按钮 ， 开 始 捕获 数据 ， 如 图 3.11 所 示 。 


。60 。 


第 3 章 “捕获 过 滤器 技巧 


A “sms Wireshark L107 RL107.0.g6b93lal fom mesterll0l ET 
He Edt Vew G0 Cpture AnaWyze Statstcs Teiephony Toos jntemas Hep 
有 


ronbor fer 
i Neignbor Solicitarion for 
HTTP/1.1 


ee group 2 


© W [Fie CLserADMINY 1 WpoData\L ocaNTerol 


图 3.11 无 线 网 络 数据 
(3) 该 捕获 文件 中 捕获 的 数据 都 是 来 自 无 线 接口 上 的 数据 。 


3.5.2 使 用 AirPcap 适配器 


AirPcap 适配器 是 专门 设计 用 于 捕获 所 有 类 型 的 WLAN 数据 ， 应 用 WLAN 解密 密 钥 ， 
并 添加 捕获 数据 帧 的 元 数据 。AirPcap 适配器 可 以 捕获 802.11 控制 、 管 理 和 数据 帧 。 此 外 ， 
这 些 适 配器 运行 在 监听 模式 (也 称 为 射频 监控 或 RFMON 模式 ) 下 ， 使 适配器 捕获 所 有 数 
据 ， 而 不 必 结 合 特定 的 访问 点 。 这 意味 着 AirPcap 适配器 可 以 捕获 任何 802.11 网 络 流量 ， 
而 不 仅仅 是 一 个 本 地 主机 接口 上 的 数据 。 


3.6 处理 大 数据 


在 Wireshark 的 默认 设置 情况 下 ， 将 会 捕获 各 种 协议 的 数据 。 当 用 户 分 析 时 ， 这 样 的 
大 数据 将 会 带 来 很 大 的 困扰 。 本 节 将 介绍 如 何 处 理 这 些 大 数据 。 


3.6.1 捕获 过 滤器 


捕获 过 滤器 是 数据 经 过 的 第 一 层 过 滤器 ， 它 用 于 控制 捕捉 数据 的 数量 ， 可 以 避免 产生 
过 大 的 捕获 文件 。 这 样 在 使 用 Wireshark 捕获 之 前 ， 就 可 以 通过 指定 捕获 过 滤器 获取 到 自 
己 需要 的 数据 。 下 面 将 介绍 捕获 过 滤器 的 使 用 。 

在 菜单 栏 中 依次 选择 CapturelOptions.… 命 令 , 打开 捕获 选项 窗口 。 打 开 界 面 ， 如 图 3.12 
所 示 。 


vetkcpreontions 世人 


Capture 
neem teriaee ker Pooder prom Mode snoplen [Bbufor MG] Capture Flier 
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在 该 界面 可 以 看 到 捕获 过 滤器 列 是 空白 的 。 这 是 因为 默认 情况 下 没有 使 用 任何 的 过 滤 
器 。 此 时 ， 双 击 选择 接口 行 的 任何 一 处 ， 启 动 编辑 接口 设置 窗口 ， 如 图 3.13 所 示 。 

在 该 界面 单 击 Capture Filter 按钮 ， 可 以 查看 并 选择 捕获 过 滤器 。 这 里 选择 port 53， 如 
图 3.13 所 示 。 从 该 界面 可 以 看 到 设置 捕获 过 滤器 后 ， 背 景 颜色 为 绿色 。 通 过 该 背景 色 可 以 
判断 使 用 的 语法 是 否 正确 ， 如 果 语 法 错误 ， 则 背景 为 红色 ; 如 果 正确 ， 背 景 为 绿色 。 然 后 
单 击 OK 按钮 ， 将 显示 如 图 3.14 所 示 的 界面 。 


Wiresharkc Caprure Options 本 本 | 
Edit nterfoce Sertings 区 可 Capture 
Oph Capture Interface Uink-layer header Prom. Mode Snaplen [B] Buffer [MiB] Capture Fiter ~ 
interface: 本 地 过 本 地 连接 2 
D nddreas; [fo00ca0tediod abodb E fe80-c52272ce40bt:6005 Ethemet enabled 。 defaukt 2 


192168.0108 


Uimit each pocket to i [ 
Buffer seer [2 EE mebbreals) | 站 Coptre on ol interfaces Fe 
| Eee AI] oo 网 Use Promieuous mode on al interfaces 
[3 gee) | Cen ER 
NT 
图 3.13 编辑 接口 设置 图 3.14 捕获 选项 


在 该 界面 的 Capture filter 列 可 以 看 到 , 设置 的 捕获 过 滤器 为 port 53。Wireshark 捕获 过 
滤器 使 用 的 是 伯克利 数据 包 过 滤器 (Berkeley Packet Filtering) 语法 。 用 户 也 可 以 直接 在 捕 
获 过 滤器 区 域 ， 输 入 捕获 过 滤器 的 语法 。 然 后 单 击 Start 按钮 ， 开 始 捕获 数据 。 


3.6.2 ”捕获 文件 集 


文件 集 就 是 多 个 文件 的 组 合 。 在 Wireshark 中 ， 使 用 文件 集 的 方法 可 以 将 一 个 大 数据 
文件 分 成 好 几 个 小 文件 。 在 捕获 选项 窗口 中 ， 可 以 设置 每 个 文件 的 大 小 及 每 隔 多 长 时 间 保 
存 一 个 文件 。 这 样 也 可 以 帮助 用 户 快速 地 处 理 数 据 。 下 面 将 介绍 捕获 文件 集 。 

【实例 3-2】 捕获 文件 集 。 有 具体 操作 步骤 如 下 所 示 。 

(1) 在 主 菜 单 栏 中 单 击 回 (显示 捕获 选项 ) 按钮 ， 将 打开 如 图 3.15 所 示 的 界面 。 

(2) 在 该 界面 的 Capture 选项 框 中 ,选择 连接 到 Intemet 网 络 适配器 前 的 复 选 框 。 这 里 
选择 “本 地 连接 ”接口 。 

(3) 在 Capture Files 部 分 ， 单 击 Browse 按钮 选择 保存 捕获 文件 的 路 径 和 文件 名 。 这 里 
设置 文件 名 为 capture.pcapng， 如 图 3.16 所 示 。 然 后 单 击 OK 按钮 ， 将 返回 到 捕获 选项 
界面 。 

(4) 在 捕获 界面 的 Capture Files 部 分 ， 将 看 到 上 面 指定 的 捕获 文件 的 路 径 和 文件 名 ， 
如 图 3.17 所 示 。 在 该 界面 选择 启用 Use multiple files 选项 ， 并 定义 生成 的 捕获 文件 每 个 大 
小 为 1MB、 每 10 秒 生成 一 个 文件 及 捕获 4 个 文件 后 自动 停止 捕获 。 以 上 信息 设置 完 后 ， 
单 击 Start 按钮 ， 开 始 数据 捕获 。 


全 注意 : 捕获 选项 窗口 中 的 Stop Capture after 选项 ， 在 某 些 版 本 中 存在 Bug。 在 1.10.7 版 
本 中 ， 选 择 该 选项 后 ， 将 无 法 发 挥 它 的 作用 。 


(5) 现在 通过 访问 www.openoffice.org 网 站 ， 产 生 流量 。 大 概 访问 几 秒 ， 然 后 返回 到 
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Wireshark 查看 状态 栏 的 文件 区 域 。 将 会 看 到 文件 名 发 送 了 变化 , 文件 名 后 面 添 加 了 文件 编 
号 〈 本 例 中 是 _ 00004) 、 时 间 和 时 间 戳 ， 如 图 3.18 所 示 。 
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图 3.15 捕获 选项 界面 图 3.16 保存 的 文件 


Fie: | DAtraces\Capture.pcapng 
Use mukiple files 
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图 3.18 文件 名 变化 
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(6) 用 户 也 可 以 通过 在 工具 栏 中 依次 选择 File|File Set|List Files 命令 ， 查 看 文件 集中 的 
所 有 文件 ， 如 图 3.19 所 示 。 


2014.07.01 18:24:45 13976 Bytes | 
|© capture_00003_20140701182445.pcapng 2014.07.01 18:24:45 2014.07.01 18:24:55 5915 Bytes 
|®) {Capture 00004 20140701182455.pcapngl 2014.07.01 18:: 2014.07.01 18:25:05 8960 Bytes 


图 3.19 文件 集 
(7) 从 该 界面 可 以 看 到 生成 的 4 个 小 文件 。 


3.7 处理 随机 发 生 的 问题 


在 捕获 数据 时 ， 用 户 可 能 会 遇 到 一 些 特殊 的 问题 。 但 是 这 些 问 题 ， 并 不 是 在 每 次 捕获 
数据 时 都 可 以 捕获 到 。 所 以 ,这 些 随 机 发 生 的 问题 常常 给 用 户 带 来 一 定 的 困扰 .在 Wireshark 
中 有 一 些 特殊 的 功能 ， 可 以 捕获 到 这 些 烦人 的 、 难 以 捉摸 的 数据 包 。 本 节 将 介绍 处 理 这 些 
随机 发 生 的 问题 。 

在 Wireshark 中 可 以 通过 设置 使 用 文件 集 ， 并 且 使 用 循环 缓冲 区 的 功能 来 处 理 随 机 发 
生 的 问题 。 设 置 该 功能 后 ，Wireshark 会 持续 地 捕获 数据 ， 直 到 问题 再 次 出 现 。 下 面 介绍 设 
置 循 环 缓冲 区 的 方法 。 

在 菜单 栏 中 依次 选择 CapturelOptions 命令 ， 打 开 捕 获 选 项 窗口 。 在 该 界面 即 可 设置 组 
冲 区 文件 ， 如 图 3.20 所 示 。 

Mom i 


paue 
pa Te DReRr neader prom Mode Snaplen [6] utier MS] Captre Fiter < 
本 法 连接 2 
Er Ethernet nobled delovk 2 n 
Dang 
加 
林寺 迄 
园 。 As8o-40tadfed94tsdb Ethernet enebled deteuk 2 
oalga0toe - 
7 u J 
占 Capture on al interfaces [ee 
辐 Use promiscuous mode on oll interfaces 
Ez 回 
Cooture Fes Depy Oprons 
Fle: Dreceaveamirgprebpcepre Browees) Lpdare fst of packers in real dime 
ee mine fies] LE 
Neafieeey 100 3 megabne() 
© Net fle every 10 [mu Ia| Hide capture info dialog 
园 Ring bufferwih 5 > es Hame Resoution 
回 Stop capture after 1 fie(s) 国 Resoke MAC addresses 
Srop apare uromaoaay 机 本 
Bl 
Resolve iransport-layer name 
bo 
li Use ederral network name resokver 
Cwe Ca ) Cgem 


图 3.20 设置 缓冲 区 
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以 上 的 设置 表示 当 Wireshark 完成 捕获 第 5 个 100MB 的 文件 后 ,将 删除 第 一 个 100MB 
的 文件 ， 并 创建 第 6 个 文件 ， 使 Wireshark 继续 运行 。 

【实例 3-3】 使 用 设置 循环 缓冲 区 的 方法 节约 磁盘 空间 。 具 体操 作 步 又 如 下 所 示 。 

(1) 在 主 菜 单 栏 中 单 击 回 (显示 捕获 选项 ) 按钮 。 

(2) 在 该 界面 的 Capture 部 分 ， 选 择 连接 到 Intemet 网 络 适配器 前 的 复 选 框 。 这 里 选择 
“本 地 连接 ”接口 。 

(3) 在 Capture Files 部 分 ， 单 击 Browse 按钮 选择 保存 捕获 文件 的 路 径 和 文件 名 。 这 里 
设置 文件 名 为 capturese.pcapng， 如 图 3.16 所 示 。 然 后 单 击 OK 按钮 ， 将 返回 到 捕获 选项 
界面 。 

(4) 在 捕获 界面 的 Capture Files 部 分 ， 将 看 到 上 面 指定 的 捕获 文件 的 路 径 和 文件 名 。 
在 该 界面 选择 启用 Use multiple files 选项 , 设置 生成 文件 集中 的 每 个 文件 大 小 为 10MB、 每 
30 秒 生成 一 个 文件 、 缓 冲 区 最 多 保存 3 个 文件 ， 如 图 3.21 所 示 。 以 上 信息 设置 完 后 ， 单 
击 Start 按钮 ， 将 开始 数据 捕获 。 


Ml Wiresharkc Capture Options 
Capture Fles Deplay Options 
Fle: [DAtraces\stopatproblem.pcapng 团 Update list of packets in real time 
园 Use mukiple files 园 Use pcap-ng format 站 
回 Neafleevey [10 日 | 
Si 加 。 四 Hae cpwreine dao 
园 Ring bufferwih 寺 fs Name Resolution 
Stop capture after 2 3 fie(s) BD Resolve MAC addresses 
Stop Capture Automaticaly After Re ee ere 
四 |1 习 packet(s) 
二 团 Resoke transport-layer name 
40 7 ldlobyte(s) hd 
四 |1 3 |minute(s) 目 园 Use external network name resolver 
Chore 


图 3.21 捕获 选项 


(5) 此 时 打开 浏览 器 ， 访 问 www.wireshark.org 网 站 产生 流量 。 大 概 访问 30 秒 该 网 站 。 
然后 再 访问 一 下 www.chappellu.com/nothere.html 网 站 ， 将 会 出 现 404 错误 ， 因 为 该 网 站 不 
存在 。 当 出 现 404 错误 后 ， 快 速 返回 到 Wireshark 界面 ， 单 击 画 〈 停 止 捕获 ) 按钮 。 

(6) 查看 Wireshark 状态 栏 的 文件 区 域 ， 将 看 到 许多 文件 编号 已 经 被 分 配 。 当 查看 保 
存 捕获 文件 目录 或 查看 文件 集 时 ， 仅 能 看 到 3 个 文件 ， 如 图 3.22 所 示 。 因 为 在 前 面 的 循环 
缓存 区 设置 了 仅 保 存 最 后 3 个 文件 。 


ve 


Fename Treated ast Modfied ED 
© stopatproblem_00002 .20140701152912.pcapng 2014-07-01 15:29:12 20:4-07-01 15:29:42 33024 Bytes 
D stopatproblem_00003_20140701152942.pcapng 2014-07-01 15:29:42 20:4-07-01 15:30:12 21148 Bytes 


© |stopatproblem_00004_20140701153012.pcapng; 2014-07-01 15:30:12 20:4-07-01 15:30:26 18732 Bytes 


in directory: D:\traces 


ee 


图 3.22 文件 集 
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(7) 在 该 界面 从 文件 名 的 编号 (_00002、_00003、_00004) 可 以 看 出 目前 保存 的 3 个 
文件 。 由 于 缓存 文件 设置 仅 能 保存 3 个 文件 ， 所 以 第 1 个 文件 (编号 为 _00001) 被 删除 了 。 
这 样 就 可 以 节约 磁盘 空间 。 现在 单 击 Close 按钮 ,返回 到 Wireshark 主 界面 。 将 能 够 快速 地 
找 出 404 的 错误 信息 ， 如 图 3.23 所 示 。 


Ml stopatproblem_00004_20140701153012 peapng [Wireshark 1107 (v1107-0-96b9311 from maser lc 
Ele Edt Yew Go Gapture Anayze Statstics Telephony Iooks Intemas Hep 
日 @@ 帮 本 帮 | 斩 外 X 包 | 六 9 四 于 生 | 回 日 QQQDI 贡 四则 


Fiher = | Expression.. Clear Apply Save 


No. Time Source Destination Protocol Length Info < 

33 2. 890286000 192.168.0.104 123.125.125.86 TCP 54 11882 > hep ed Seq=11! 
34 2. 892853000 192.168.0.104 。 123.125.125.86 HTTP 703 PosT /q HTTP/1. 
35 2. 892876000 192.168.0.104 。 123.125.125.86 HTTP 501 Continuation or oe 
36 2. 904157000 123.125.125.86 192.168.0.104 oe 60 hrrp > 11882 [ACK] Seq=20; 
37 2.919464000 

38 2. 919699000 : 


.0b:00:4Broadcast 
3 :ff02: ;1s HH 1c cspve 


60 who be 2923 168.0. ER TI 全 


ED 75005 


92. .7 3 
41 3.674796000 fe80: DHCPVG 147 Solicit xID: Ox7bf798 CID 


42 3.919788000 ee 60 who has 192.168.0.111? T' 

43 4. 310806000 -| e7: 60 Who has 192.168.0.104? T' 

44 4.310829000 Giga-Byt_c8:4c:8Giga-Byt_ 9d:e7: amp 42 192.168.0.104 is ar 1c:6f - 
加 


ew File: “D:\traces\stopatproblem_00004_2014...| Packets: 89 * Dsplyed: 89 (100.0%)... | Profie: Defauk 


图 3.23 ”404 错误 信息 


(8) 从 该 界面 可 以 看 到 ，39 帧 中 的 数据 中 包含 404 Not Found 信息 。 


3.8 捕获 基于 MACVIP 地 址 数据 


在 使 用 Wireshark 捕获 过 滤器 时 ， 可 以 设置 只 捕获 MAC/IP 地 址 数据 的 过 滤器 。 本 节 
将 介绍 捕获 基于 MAC/IP 地 址 数据 的 方法 。 


3.8.1 


捕获 单个 IP 地 址 数据 


IP 地 址 是 IP 协议 提供 的 一 种 统一 的 地 址 格式 ， 它 为 互联 网 上 的 每 一 个 网 络 和 每 一 台 
主机 分 配 了 一 个 逻辑 地 址 。 通常 瑟 地 址 分 为 IPv4 和 IPv6 两 大 类 。 现 在 大 部 分 使 用 的 都 是 
JIPv4 地 址 ， 该 地 址 是 一 个 32 位 的 二 进 制 数 。 通 常 在 捕获 数据 时 ， 用 户 会 通过 卫 地 址 的 方 
式 来 判断 是 哪 台 主机 上 的 数据 。 下 面 将 介绍 捕获 单个 瑟 地 址 数据 的 方法 。 

下 面 看 儿 个 卫 地 址 捕获 过 滤器 的 例子 。 


口 
口 


已 .所 日 日 
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host 10.3.1.1: 捕获 到 达 / 来 自 10.3.1.1 主机 的 数据 。 

host 2406:da00:ff00::6b16:f02d: 捕获 到 达 / 来 自 IPv6 地 址 2406:da00:ff00::6b16:f02d 
的 数据 。 

not host 10.3.1.1: 捕获 除了 到 达 / 来 自 10.3.1.1 主机 的 所 有 数据 。 

src host 10.3.1.1: 捕获 来 自 10.3.1.1 主机 上 的 数据 。 

dst host 10.3.1.1: 捕获 到 达 10.3.1.1 主机 上 的 数据 。 

host 10.3.1.1 or host 10.3.1.2: 捕获 到 达 / 来 自 10.3.1.1 主机 上 的 数据 ， 和 到 达 / 来 自 
10.3.1.2 主机 的 数据 。 
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口 host www.espn.com: 捕获 解析 www.espn.com 的 卫 地 址 上 的 数据 。 
【实例 3-4】 仅 捕 获 到 达 / 来 自 192.168.0.112 主机 的 数据 包 。 有 具体 操作 步骤 如 下 所 示 。 
(1) 在 工具 栏 中 单 击 回 按钮 ， 打 开 捕 获 选 项 界面 ， 如 图 3.24 所 示 。 


A wiresharkc Capture Options 本 [一 > 一 
Capture 
Capture rr me Link-layer header Prom. Mode Snaplen [B] Buffer [MiB] Capture Filter 


本 地 连接 2 
加 fe80-c52272ce40bb:6005 


Ethernet enabled defauk 2 


图 3.24 捕获 选项 


(2) 在 该 界面 的 捕获 区 域 ， 选 择 捕获 数据 的 接口 《本 地 连接 ) 的 复 选 框 。 在 这 个 捕获 
区 域 双击 选择 接口 行 的 任何 一 处 ， 启 动 编辑 接口 设置 窗口 ， 如 图 3.25 所 示 。 
( @ dit interface Settings.'0 [= 
Capture 
lnterface: ”本 地 连接 
卫 address: fe80-40faxdfed:94b:fedb 


Link-ayer header type: |Ethernet [=] 
园 Capture packets in promiscuous mode 
同 Wimi each packet to 65535 > bytes 
Buffer sze: 2 请 mebbyte(s) 


Cg ee 
Ce EC 


图 3.25 编辑 接口 设置 


(3) 从 该 界面 可 以 看 到 本 地 连接 接口 的 了 P 地址 ,此 时 就 可 以 根据 该 地 址 信息 创建 相应 
的 捕获 过 滤器 。 在 该 界面 的 捕获 过 滤器 区 域 ， 输 入 host x.x.x.x (x.x.x.x 表示 指定 捕获 的 卫 
地 址 ， 本 例 中 使 用 的 地 址 是 192.168.0.112) 来 过 滤 IPv4 地 址 的 数据 。 如 果 捕 获 IPv6 地 址 
的 话 ， 则 输入 host XXXX:XXXX:XXXX:XXXX:XXXX:XXXX:XXXX:XXXX。 然 后 单 击 OK 按钮 ， 将 看 到 
如 图 3.26 所 示 的 界面 。 


I wiresharkc Capture Options 


ee 


Capture 
Capture Tnterface 


本 地 连接 
fe80-40fadfed34b19db 
1921680108 


Uink-layer header Prom. Mode Snaplen [BlBuffer IMiB] Capture Fiter ~ 


Ethernet 


enabled defaukt 


本 
2 host192.168.0.112 上 


加 Capture on all interfaces 


| 
| Use promiscuous mode on all interfaces 


图 3.26 捕获 过 滤器 
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(4) 从 该 界面 可 以 看 到 ， 本 地 连接 接口 的 捕获 过 滤器 中 显示 了 一 条 信息 。 在 该 界面 不 
要 启动 Use multiple files， 此 时 就 可 以 捕获 数据 了 。 单 击 Start 按钮 ， 将 开始 捕获 过 程 ， 如 
图 3.27 所 示 。 


A “本 地 连接 (host 192.168.0.112) 【Wireshark 1.10.7 (v1.10.7-0-g6b931al from master-1.10)] EL 
fle Edt Vew Go Capture AnaMze Statstics Telephony Iooks Jntemaks Hep 
dO@#lA 电 XSOIA9 人 OF | 国 晶 |QQQDI 人 田阳» 


Fiker | ~| Expression.. Clear 
INo. Time Source Destination Protocol Length Info ^ 

1 0.000000000 192.168.0.112 192.168.0.1 DNS 77 Scandard query Ox9all 

2 0.000114000 192.168.0.112 192.168.0.1 DNS 77 Standard query 0xc71e 

3 1.021917000 192.168.0.1 192.168.0.112 DNS 93 Standard query respons 
4 0.012027000 192.168.0.1 192.168.0.112 DNS 146 Scandard query respons 

5 0.000412000 192.168.0.112 198.66.239.146 TCP 74 60247 > http [SYN] Seq 
6 0.250239000 192.168.0.112 192.168.0.1 DNS 77 Standard query Ox3724 

7 0.443976000 192.168.0.1 192.168.0.112 93 Standard query respons 


8 0.000321000 192.168.0.112 198. 66.239.146 74 60248 > hrtp [SYN] Seq 


图 3.27 捕获 数据 过 程 


(5) 在 也 地 址 为 192.168.0.112 的 主机 上 访问 网 络 (如 访问 网 站 www.chappellu.com) ， 
以 产生 数据 。 所 有 的 数据 ， 都 将 显示 在 图 3.27 中 。 
(6) 返 回 到 Wireshark 中 查看 捕获 文件 , 所 有 的 数据 都 是 来 自 /到 达 192.168.0.112 主机 。 


3.8.2 捕获 IP 地 址 范围 


JP 地 址 一 共 分 为 A、B、C、D、E 五 类 。 其 中 ， 最 常用 的 是 前 三 类 地 址 。 卫 地 址 根据 
网 络 位 和 主机 位 ， 将 其 分 为 五 类 。 为 了 节约 地 址 ，CIDR (Classless Interdomain Routing) 
将 好 几 个 IP 网 络 结合 在 一 起 。 通 过 使 用 掩 码 值 ， 表 示 了 一 个 了 P 地 址 范围 。 

下 面 看 几 个 IP 地 址 范围 捕获 过 滤器 的 例子 。 
口 net 192.168.0.0/24: 捕获 到 达 / 来 自 192.168.0.0 网 络 中 任何 主机 的 数据 。 
口 net 192.168.0.0 mask 255.255.255.0: 捕获 到 达 / 来 自 192.168.0.0 网 络 中 任何 主机 的 

口 ip6 net 2406:da00:ff00::/64: 捕获 到 达 / 来 自 2406:da00:ff00:0000 (IPv6) 网 络 中 任 

何 主机 的 数据 。 

口 not dst net 192.168.0.0/24: 捕获 除 目的 下 地址 是 192.168.0.0 网 络 外 的 所 有 数据 。 

口 dst net 192.168.0.0/24: 捕获 到 达 IP 地 址 为 192.168.0.0 网 络 内 的 所 有 数据 。 

口 srcnet 192.168.0.0/24: 捕获 来 自卫 地 址 为 192.168.0.0 网 络 内 的 所 有 数据 。 

【实例 3-$】 捕获 192.168.0.0 网 络 中 所 有 主机 的 数据 。 有 具体 操作 步骤 如 下 所 示 。 

(1) 启动 Wireshark 捕获 工具 。 在 该 界面 的 菜单 栏 中 依次 选择 Capture|Options 选项 ， 
打开 捕获 选项 窗口 ， 如 图 3.28 所 示 。 

(2) 在 该 界面 过 滤器 区 域 输入 捕获 过 滤器 net 192.168.0.0/24。 如 果 要 保存 该 捕获 文件 ， 
击 Browse 按钮 选择 保存 捕获 文件 的 位 置 和 文件 名 。 设 置 完 后 ， 如 图 3.29 所 示 。 


似 


则 让 
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Link-layer header Prom. ModeSraplen [B] Buffer [IMiB] Capture Fiker “| 


i ss 


@ Use promiseuous mode on allimerfaces 


[Gaps ier | [EE] [compie seeaed errs| 
Captre les Dspay opnons 

Fie: Brewses] 区 Updsee fist of packets in real ime 
Use mutiple fles 园 Use peap-ng format 


EB Amomaticaly scroll during lve capture 


回 Nex file every megabyiels) 


DOD Ne fle every 回 Hide capiure info dialog 


D Ring buffer wih Mame Resouuon 


DD Stop capture afer [1 ets) I Resolve MAC addresses 
加 Resoke pework-ayer names 
加 Resolve yransport-laysr name 


Use eaemal network name resclver 


图 3.28 捕获 选项 窗口 


Capure Inmterface Unk-layer header Prom. Mode Snaplen 加 Buffer [MiB] Capure Flt ~ 
二 地 轩 扫 
CO Erhomet Sicabled dofash 2 net19216800 
| 1923680110 
RE 一 一 
加 capture on all interfaces ‘Manage lnterfaces | 


回 Use promiscuous mode on all interfaces 

Ez 
Gpture Fles DEDby Opuons 

Fle; Di\iraces\ip-range.pcapng Browse -| 园 Update list cf packets in real ime 


ET ET TI 本 ToT~T 了 


Eee sa Loo 


3.29 设置 过 滤器 


(3) 从 该 界面 可 以 看 到 目前 设置 的 过 滤器 及 文件 保存 位 置 。 然 后 单 击 Start 按钮 ， 将 开 
始 捕获 数据 ， 如 图 3.30 所 示 。 


而 男 十 硬 大 | 已 台 其 包 人 DOF QQAaglg 


Fiter: [bepression.. Cear App Save 


oo Time Source Destination miocol tengm Ifo “ 
23 14,2254270 Giga-Byt_0b:00:4feroadcast 60 who has 192.168.,0.111 
24 14. 8007300 192.168.0,110 和 77 Standard query Ox8b7¢ 
25 14 9857430 102.168. 0.1 09 Sranard piry resyar 到 

.021s Te ~ 66 49335 > http [swN] se 
192.168 66 htp， 


| 27 15.19 


| 28 15.1925350 192.165.0.110 
.1927600 192.165. 0.110 


30 15.2393690 Giga-Byt_0b: 0 
1 15.3978040162.159. 242.16 


图 3.30 捕获 的 数据 包 
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(4) 该 捕获 文件 中 所 有 的 数据 包 ， 都 是 192.168.0.0/24 网 络 中 主机 的 数据 。 


3.8.3 捕获 广播 或 多 播 地址 数据 


当下 地 址 的 网 络 和 主机 位 全 为 1 时 , 广播 地 址 就 是 255.255.255.255。 该 地 址 应 用 于 网 
络 内 的 所 有 主机 。 该 地 址 通常 用 在 向 局 域 网 内 所 有 主机 发 送 广播 包 时 ， 其 目的 地 址 就 是 广 
播 地 址 。 

多 播 地 址 即 组 播 地 址 ， 是 一 组 主机 的 表示 符 。 在 以 太 网 中 ， 多 播 地 址 是 一 个 48 位 的 
标示 符 。 在 IPv4 中 , 它 在 历史 上 被 叫做 D 类 地 址 , 它 的 范围 是 224.0.0.0 一 239.255.255.255。 
广播 地 址 全 为 1 的 48 位 地 址 ， 也 属于 多 播 地 址 。 

通过 监听 广播 和 多 播 ， 可 以 在 Wireshark 中 了 解 到 关于 网 络 上 主机 的 数据 。 下 面 列 出 
几 个 常用 的 例子 ， 如 下 所 示 。 

口 ip broadcast: 捕获 到 255.255.255.255 的 数据 。 

口 ip multicast: 捕获 通过 239.255.255.255 一 224.0.0.0 的 数据 。 

口 dst host ff02::1: 捕获 所 有 主机 到 IPv6 多 播 地 址 的 数据 。 

口 dst host ff02::2: 捕获 所 有 路 由 到 IPv6 多 播 地 址 的 数据 。 

如 果 只 想 捕获 所 有 卫 或 IPv6 的 数据 ， 使 用 卫 或 IPv6 捕获 过 滤器 。 

【实例 3-6】 捕获 广播 地 址 数据 。 有 具体 操作 步骤 如 下 所 示 。 

(1) 启动 Wireshark 捕获 工具 。 

(2) 在 捕获 窗口 中 设置 捕获 过 滤器 为 ip 255.255.255.255， 如 图 3.31 所 示 。 


Ml wiresharc Capture Options 


Capture 
Capture Interface Link-layer header Prom. Mode Snaplen [B] Buffer [MiB] Captur “ 


本 地 连接 
fe80-95c284b3blfe7828 Ethernet disabled default 和 ip broadcast 
1921680110 


4 i ; 
图 Copune on al interfaces 


© Use promiscuous mode on all interfaces 


Er Ce 


Capture Fies Display Options 


ye ee et ee pe 


图 3.31 设置 广播 地 址 过 滤器 
(3) 从 该 界面 可 以 看 到 指定 的 过 滤器 和 捕获 文件 的 位 置 。 此 时 单 击 Start 按钮 ， 将 开始 
捕获 数据 ， 如 图 3.32 所 示 。 
(4) 从 该 界面 可 以 看 到 所 有 数据 包 ， 都 是 发 送 给 255.255.255.255 主机 的 。 
3.8.4 捕获 MAC 地 址 数据 
当 想 要 捕获 到 达 / 来 自 一 个 主机 IPv4 或 IPv6 的 数据 时 , 可 以 创建 一 个 基于 主机 的 MAC 
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地 址 捕获 过 滤器 。 由 于 MAC 头 部 被 剥 去 ， 并 且 通 过 路 由 器 的 路 径 被 应 用 。 这 样 确保 了 网 
络 片段 和 目标 主机 片段 一 样 。 


Ml ip-broadcastpcapng [Wireshark 1107 (v1107-0-g6b931al fom master-110)] ET 
He Edt Vew Go Capture Anayze Statstics Telephony TIoos Jntemaks He 
SOAA|EDSOXSIAH 中 OF 国 局 QQQ 上 1I 醒 国 罗 “ 


Fer | ~ | Expression.. Clear Apply Save 
INo Time Source Destination Protecol i. Length Info 


508 Source port: FE 


335.235.255.255 UDP 


2 30.0088730192.168.0.102 


3 31.7193260 192.168.0.108 255.255.255.255 DHCP 342 pHCP Inform  - Transactior| 
4 40.0510450 192.168.0.102 255.255.255.255 UDP 508 Source port: 58275 Destina 
5 41.4338510 192.168.0.104 255.255.255.255 DHCP 342 DHCP Inform  - Transactior 


508 Source port: 58275 Destinz 


6 70.0602220192.168.0.102 255.255.255.255 
508 Source port: 58275 Destinz 


UDP 
7 100.069057 192.168.0.102 255.255.255.255 UDP 
8 130.074696 192.168.0.102 255.255.255.255 UDP 508 Source port: 58275 ”Destins 
9 130.110494 192.168.0.104 255.255.255.255 DHCP 342 DHCP Inform  - Transactior 
10 160.081700192.168.0.102 255.255.255.255 UDP 508 Source port: 58275 Destins 
11 166.205064 192.168.0.106 255.255.255.255 UDP 355 Source port: 53855 Destinz 
12 166.225063192,168.0.106 255.255.255.255 UDP 397 source port: 53856 Destinz 、 
Kx ?45nna NNY 0 N NE IEE ?SS IEE FEE nn rn mv， EIOET Marrin 
i » 


I© WH [Fie: "D:\traces\p-broadcast.pcapng” 18 k... | Packets: 38 * Displayed: 38 (100.0%) ~ Dr... | Profie: Defauit 


图 3.32 捕获 的 广播 地 址 数据 


ether host 00:08:15:00:08:15: 捕获 到 达 / 来 自 00:08:15:00:08:15 主机 的 数据 。 

ether src 02:0A:42:23:41:AC: 捕获 来 自 02:0A:42:23:41:AC 主机 的 数据 。 

ether dst 02:0A:42:23:41:AC: 捕获 到 达 02:0A:42:23:41:AC 主机 的 数据 。 

not ether host 00:08:15:00:08:15: 捕获 到 达 / 来 自 除 了 00:08:15:00:08:15 的 任何 MAC 
地 址 的 流量 。 

【实例 3-7】 仅 捕 获 到 达 / 来 自 其 他 MAC 地 址 的 数据 。 有 具体 操作 步骤 如 下 所 示 。 

(1) 使 用 ipconfig 或 这 onfig 命令 ， 查 看 活跃 接口 的 MAC 地 址 。 

(2) 在 工具 栏 中 单 击 砚 按 钮 ， 打 开 捕 获 选项 界面 ， 如 图 3.33 所 示 。 


OOODD 


属 Wiresharkc Capture Options EAE 
Capture 
Capture Interface Link-layer header Prom. Mode Snaplen [B]Buffer [MiB] ”Capture Fiter | 
本 地 连接 2 
国 fe80-c5a2:.72ce-40bb:6005 Ethernet enabled defauk 2 


0000 


图 3.33 ”捕获 选项 


(3) 在 该 界面 的 捕获 区 域 ， 勾 选 捕获 数据 的 接口 (本 地 连接 ) 的 复 选 框 。 在 这 个 捕获 
区 域 双击 选择 接口 行 的 任何 一 处 ， 启 动 编辑 接口 设置 窗口 ， 如 图 3.34 所 示 。 

(4) 在 该 界面 输入 not ether host xXx.XX.XX.XX.XX.XX (以 太 网 地 址 ) ， 如 图 3.34 所 示 。 

(5) 为 了 方便 以 后 使 用 该 过 滤器 ， 这 里 将 保留 此 过 滤器 。 单 击 Capture Filter 按钮 ， 将 
显示 如 图 3.35 所 示 的 界面 。 

(6) 在 该 界面 修改 过 滤器 名 字 ， 设 置 为 NotMyMAC。 然 后 单 击 New 按钮 ， 该 过 滤器 
创建 成 功 ， 如 图 3.36 所 示 。 
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Ede Capture Flter 
new 
upony 


PP address: | fe80:40fardfed94bdfedb 


192.168.0.108 习 [see] 


Linkayer header type: Ethernet [=] 


Capture packets in promiscuous mode 

回 Umit each packetto 65535 > bytes 二 = 

Buffer sze: 2 S mebbyte(s) ee i ep 
[Cepwre Fiter EEC Fiter strng: not ether host 00-0C-29-56-BD-21 | 


图 3.34 编辑 接口 设置 图 3.35 保存 捕获 过 滤器 


Wiresharie CoptureFilter -Profle Defaut [EE 
Edt Capture Fiter 

udp only 

NotMyMAC 

[peiete 


| | Properties- 
Fiter name: NotMyMAC 
几 Fiter string: not ether host 00-0C-29-56-BD-21 


图 3.36 创建 捕获 过 滤器 


(7) 从 该 界面 可 以 看 到 NotMyMAC 捕获 过 滤器 被 成 功 地 创建 。 此 时 单 击 OK 按钮 ， 
将 看 到 如 图 3.37 所 示 的 界面 。 


Capture 
Capture Interface Link-layer header Prom. Mode Snaplen [B] Buffer [MiB] Capture Fiker 
回 or Ethernet enabled default 2 Ep 


图 3.37 创建 的 捕获 过 滤器 
(8) 从 该 界面 可 以 看 到 新 创建 的 捕获 过 滤器 。 现 在 单 击 Start 按钮 ， 将 开始 捕获 。 
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(9) 此 时 ， 用 户 可 以 在 非 MAC 地 址 为 00-0C-29-56-BD-21 的 所 有 主机 上 进行 操作 。 
通过 访问 各 种 网 站 、 登 录 服 务 器 或 发 生 邮件 ， 产 生 主 机 间 的 数据 流量 。 

(10) 返回 到 Wireshark 主 界面 ， 单 击 夯 (停止 捕获 ) 按钮 。 捕 获 到 的 数据 如 图 3.38 
所 示 。 
属 capture macpcapng [Wireshark 1107 wlL107-0-g6b931alfrom masterl10 [ET 一 > 二 


fle Edt View Go Capture Anayze Statstics Telephony Iook JIntemaks Hep 
do@ald 电 SA9 人 9OTFTL 图 昌 AQAQDl 田 加 尖 | 加 


Fikter: |Expression. Cear ~ Apply Save 。 New Label 
No. Time Source Destination Protocol Length Info 

1 0.000000000 Giga-Byt_68:24:58 Broadcast ARP 60 Who has 192.168.0.3? Te11 192.168.0.110 

2 0.298530000 Giga-Byt_0b:00:4f Broadcast ARP 60 who has 192.168.0.111? Te11 192.168.0.105 

3 0.335861000 192.168.0.112 74.125.136.101 TCP 74 41514 > http [SYN] seq-0 Win=29200 Len=0 MSS 
4 0.000185000 192.168.0.112 74,125,.136.139 TCP 74 52398 > http [SYN] Seq=0 Win=29200 Len=0 MSS 
5 0.164958000 192.168.0.112 74.125.136.138 TCPp 74 38863 > http [SYN] seq-0 win=29200 Len=0 MSS 
6 0.063957000 192.168.0.112 74.125.136.100 TcPp 74 37243 > http [SYN] seq-0 win=29200 Len=0 MSS 
7 0.000081000 192.168.0.112 74.125.136.138 TCPp 74 secrmmsafecopya > http [SYN] Seq=0 Win=29200 
8 0.079735000 Giga-Byt_c8:4c:89 Broadcast ARP 42 who has 192.168.0.1? Te11 192.168.0.108 


9 0.000238000 Tp-LinkT_f9:3c:c0 Giga-Byt_c8:4C:8ARP 60 192.168.0.1 is at 6c:e8:73:f9:3c:c0 
10 0.056409000 Giga-Byt_68 :58 Broadcast ARP 650 who has 192.168.0.3? Te11 192.168.0.110 
11 0.184501000 Giga-Byt_0b:00:4f Broadcast ARP 60 who has 192.168.0.111? Te11 192.168.0.105 


14 0. 364957000 Giga-Byt_c8:4c:89 Broadcast ARP 42 who has 192.168.0.3? Te11 192.168.0.108 
15 0. 186228000 Giga-Byt_0b:00:4f Broadcast ARP 60 who has 192.168.0.111? Te11 192.168.0.105 ~ 
加 
ed 加 | Fle: “D; \traces\Capture mac.pcapng” 3064 kB 00:01:10 Packets: 5448 * Displayed: 5448... | Profile: D... 
一 一 一 一 — 一 一 - 一 ; 


图 3.38 捕获 的 数据 


(11) 在 该 界面 通过 滚动 鼠标 ， 查 看 捕获 的 所 有 数据 。 在 该 捕获 文件 中 ， 将 不 会 出 现 
MAC 地 址 为 00-0C-29-56-BD-21 主机 的 数据 。 


3.9 ”捕获 端口 应 用 程序 数据 


在 Wireshark 中 想 要 使 用 捕获 过 滤器 捕获 应 用 程序 的 数据 时 ， 需 要 使 用 端口 过 滤器 。 
本 节 将 介绍 捕获 端口 应 用 程序 数据 。 


3.9.1 捕获 所 有 端口 号 的 数据 


在 网 络 中 ， 大 部 分 的 应 用 程序 都 有 相应 的 端口 号 ， 如 DNS、HTTP、FTP。 下 面 列 出 了 
一 些 最 常用 的 应 用 程序 捕获 过 滤器 ， 如 下 所 示 。 

口 port 53: 捕获 到 达 / 来 自 端口 号 为 53 的 UDP/TCP 数据 (典型 的 DNS 数据 ) 。 

口 notport 53: 捕获 除 到 达 / 来 自 端口 号 为 53 的 所 有 UDP/TCP 数据 。 

口 port 80: 捕获 到 达 /来 自 端口 号 为 80 的 UDP/TCP 数据 (典型 的 HTTP 数据 ) 。 

口 udp port 67: 捕获 到 达 / 来 自 端口 号 为 67 的 UDP 数据 (典型 的 DHCP 数据 ) 。 

口 tcp port 21: 捕获 到 达 / 来 自 端口 号 为 21 的 TCP 数据 (典型 的 FTP 命令 行 ) 。 

口 portrange 1-80: 捕获 到 达 / 来 自 1 一 80 端口 号 的 UDP/TCP 数据 。 

口 tcp portrange 1-80: 捕获 到 达 / 来 自 1 一 80 端口 号 的 TCP 数据 。 

【实例 3-8】 捕获 端口 为 80 的 所 有 数据 包 。 具 体操 作 步骤 如 下 所 示 。 
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(1) 启动 Wireshark 工具 。 
(2) 在 捕获 选项 窗口 中 设置 捕获 80 端口 数据 的 过 滤器 ， 并 保存 该 文件 ， 如 图 3.39 所 示 。 


ET 


| Capture 
Capture Interface Link-layer header Prom. Mode Snaplen [B] Buffer [MiB] Capture Filter ~ 


本 地 连接 
fe80-95c2.84b3-b1lfe:7828 Ethernet disabled ~ default 芝 port 80 


1921680110 
亚 J 


1 0 | mm le | 


Capture on all interfaces 


回 Use promiscuous mode on all interfaces 
pnw 口 


Capture Fles Display Options 
ng| ] Update list of packets in real time 


Fe: [EEE Brome 
~ 
[se |][ gore | 


图 3.39 设置 端口 过 滤器 
(3) 从 该 界面 可 以 看 到 设置 的 捕获 过 滤器 和 文件 保存 位 置 。 设 置 完 后 单 击 Start 按钮 ， 


将 显示 如 图 3.40 所 示 的 界面 。 
帮 http-portpcapng [Wireshark 1.107 (v1.10.7-0-g6b931a1 from master-1.10)] 


Ele Edt Vew Go Capture Anayze Statistics Telephony Iooks Intemals Hep 
Old 人 SDOlIA“ 人 中 名 | 国 昌 laQQQ| 


和 rp/1.1 


了 
日 


6 0.49155900 61.135.169.125 192.168.0.110 

7 0.49506900 61.135.169.125 192.168.0.110 

8 0.49603700 61.135.169.125 192.168.0.110 

9 0.49603800 61.135.169.125 192.168.0.110 
10 0.49603900 61.135.169.125 192.168.0.110 
”11 0.49604000 61.135.169.125 192.168.0.110 
12 0.49604100 61.135.169.125 192.168.0.110 
HIE +nnm te0 nm tin 


3 nm ancnannn es 13E ten 


ii 


41 

@ WM [Fie: "D:\traces\http-port.pcapng” 23 kB ... 
图 3.40 捕获 80 端口 的 数据 

(4) 从 该 捕获 文件 的 Protocol 列 可 以 看 到 所 有 的 协议 都 为 TCP 和 HTTP。 这 两 种 协议 


的 数据 包 ， 都 是 来 自 80 端口 的 。 


| Packets: 40 


3.9.2 ”结合 基于 端口 的 捕获 过 滤器 


当 用 户 想 要 捕获 到 达 / 来 自 各 种 非 连续 端口 号 的 数据 , 可 以 通过 组 合 各 种 逻辑 运算 符 来 


实现 ， 如 下 所 示 。 
口 port 20 orport 21: 捕获 到 达 / 来 自 20 或 21 端口 号 的 所 有 UDP/TCP 数据 。 
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口 host 10.3.1.1 and port 80: 捕获 到 达 /来 自 端口 号 为 80， 并 且 是 到 达 / 来 自 10.3.1.1 主 
机 的 UDP/TCP 数据 。 

口 host 10.3.1.1 and not port 80: 捕获 到 /来 自 10.3.1.1 主机 ， 并 且 是 非 80 端口 的 
UDP/TCP 数据 。 

口 udp src port 68 and udp dst port 67: 捕获 来 自 端 口 为 68， 目 标 端口 号 为 67 的 所 有 
UDP 数据 (典型 的 DHCP 客户 端 到 DHCP 服务 器 的 数据 ) 。 

口 udp src port 67 and udp dst port 68: 捕获 来 自 端口 号 为 67, 目标 端口 号 为 68 的 所 有 
UDP 数据 (典型 的 DHCP 服务 器 到 DHCP 客户 端的 数据 ) 。 


各 提示 : 尽 可 能 不 要 使 用 捕获 过 滤器 。 当 捕获 大 量 的 数据 时 ， 可 以 通过 使 用 显示 过 滤器 过 
滤 特 定 的 数据 。 


【实例 3-9】 捕获 192.168.0.110 主机 上 非 80 端口 的 数据 。 具 体操 作 步 骤 如 下 所 示 。 

(1) 启动 Wireshark 工具 。 

(2) 在 捕获 选项 窗口 中 设置 捕获 主机 192.168.0.110 上 非 80 端口 数据 的 过 滤器 ， 并 保 
存 该 文件 ， 如 图 3.41 所 示 。 


fl Wireshark: Capture Options 加 
Capture 

(Capture Interface Link-layer header Prom. Mode Snaplen [B] Buffer [MiB] Cap 

本 地 连接 
国 。 fs80-95c284b3blfe7828 Ethernet disabled 。 defaukt 2 host192.168.0 
1921680110 
a[ ; 
园 Capture on all interfaces 


[Use promiscuous mode on all interfaces 


Cree i Cr 


Capture Fles Display Options 


Capture Fles Display Options 
se Cs 


图 3.41 设置 的 过 滤器 


(3) 在 捕获 过 滤器 区 域 设置 捕获 过 滤器 后 ， 单 击 Start 按钮 ， 将 显示 如 图 3.42 所 示 的 
界面 。 


| http-noport pcapng [wireshark 1107 (wvl.107-0-g6b931al from master-110)] 

| Be See Yew So" Captee™ trate Sta Teepipy 一 了 ob- 和 imghr tHe 
0@dnldlEOXSAaY 个 oT aaQa > 
Fen| 有 EEC |- le Clear » 


2.40927000 192.168.0.110 
2.41629200 192.168.0. 
2.56398200 192.168.0.110 
2.56707600 192.168.0.1 
2.56942800192.168.0.110 192.168.0.1 

2. 57307400192.168.0.1 192.168.0.110 130 standard query r 
gr 下 


加 本 | Fe: "D:\traces\http-noport.pcapng’ 126... | Packets: 8 * Dspbyed: 8... | Profie; Defaukk 


图 3.42 ”捕获 的 数据 
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(4) 此 时 ， 在 该 捕获 文件 中 的 Protocol 列 ， 将 不 会 看 到 有 TCP 和 HTTP 的 数据 。 因 为 
TCP 和 HTTP 协议 的 数据 包 ， 端 口号 是 80。 

【实例 3-10】 创建 、 保 存 并 应 用 一 个 DNS 捕获 过 滤器 。 具 体操 作 步 又 如 下 所 示 。 

(1) 在 工具 栏 中 单 击 回 按 钮 ， 打 开 捕 获 选 项 界面 ， 如 图 3.43 所 示 。 


I wiresharkc Capture Options 3 l= 
Capture 
(Capture Interface Unk-layerheaderProm.ModeSnaplen [BJBuffer[MiB] Capture Fiter | 
本 地 连接 2 
加 fe80-c53272ce40bb6005 Ethernet enabled default 2 


0000 


图 3.43 ”捕获 选项 


(2) 在 该 界面 的 捕获 区 域 ， 勾 选 捕获 数据 的 接口 (本 地 连接 ) 的 复 选 枉 。 在 这 个 捕获 
区 域 双 击 选择 接口 行 的 任何 一 处 ， 启 动 编辑 接口 设置 窗口 ， 如 图 3.44 所 示 。 

(3) 在 该 界面 Capture Filter 对 应 的 文本 框 中 输入 port 53， 如 图 3.44 所 示 。 此 时 通过 单 
击 Capture Filter 按钮 添加 该 捕获 过 滤器 ， 如 图 3.45 所 示 。 


Ml Edit Interface Settings 苞 硬 . 
a Wiresharkc Capture Fiker - Profile: Default 
Interface: 本 地 连接 站 
new 
YP address: | fe80-40fa:dfed:94b:fodb Da 
192.168.0.108 三 NotMyMAC 
Linklayer header type: [Ethernet [=] CE 
园 Capture packets in promiscuous mode 
Umit each packet to 65535 > bytes | 
Buffer sze:| 2 目 mebbyte(s) Propertes 
-| | 
vt me Fter string: port 53 
[ep |] ra | 
Ea 所 
图 3.44 接口 设置 界面 图 3.45 创建 捕获 过 滤器 


(4) 从 该 界面 可 以 看 到 ， 添 加 的 过 滤器 名 称 为 DNS。 然 后 单 击 OK 按钮 ， 将 显示 如 图 
3.46 所 示 的 界面 。 

(5) 从 该 界面 可 以 看 到 创建 的 捕获 过 滤器 ,在 该 界面 指定 捕获 文件 的 位 置 , 单 击 Browse 
按钮 ， 选 择 并 保存 捕获 文件 。 本 例 中 设置 的 捕获 文件 为 mydns.pcapng。 然 后 设置 使 用 多 个 
文件 ， 并 定义 下 一 个 生成 的 文件 为 每 10 秒 生成 一 个 1MB 的 文件 ， 如 图 3.46 所 示 。 单 击 
Start 按钮 ， 开 始 捕获 数据 。 

(6) 此 时 通过 访问 互联 网 上 不 同 的 网 站 ,查看 数据 。 最 好 访问 最 近 没有 访问 过 的 网 站 ， 
以 确保 DNS 信息 不 是 从 缓存 中 加 载 的 。 

(7) 返回 到 Wireshark 界面 ， 单 击 夯 〈 停 止 捕获 ) 按钮 。 显 示 界 面 ， 如 图 3.47 所 示 。 
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Interface Uink-layer header Prom. Mode Snaplen [B] Buffer [MiB] 


本 地 连接 
团 。 fas0-40fadfed94bf9db enabled defaukt 2 


© Capture on all interfaces 
加 Use promiscuous mode on all interfaces 


ET | 
Capture Fies Display Options 
File: |DAtraces\mydns.pcapng Browsem] 。 Update list of packets in real time 


加 Use mipl fles 回 Automaticaly scroll during live capture 
园 Next file every 1 
园 Next fle every id ii 加 Hide capture info dialog 


回 Ring bufferwih 2 3 Name Resoution 
© stop capture sfer 1 3 加 Resolve MAC addresses 
Stop Capture Automaticaly ARter... 了 
> packet(s) 
一 网 Resolve ransport-layer name 
megabyte(s) | | 
|minute(s) © Use ®ternal network name resolver 


图 3.46 捕获 选项 


属 mydns oo001 20140618155128pcapng IWireshark 1107 (wi107-0-96b931alfrom master-110] [ee 
Ee Et Vew Go Capture Anayze Statstes Telephony Too5 Intemas Hep 

o@andla 和 KSA“*oTFT 国 昌 AQQD 四 昌 关 | 加 
Fer [-] eepression. aear Apply » 
[No Time Source Destination Protocol Length Info < 


246 Standard query response Oxfebf 
73 standard query Oxf521 A www. ry 
73 Standard query Ox2412 AAAA ww.t 

132 standard query response Oxf521 ¢ 

157 Standard query response 0x2412 《 

7 0.037207000 75 Standard query Ox4cbd A sl.bdst: 


DNS 
192.168.0.114 DNS 
DNS 
DNS 
DNS 
8 0. 000073000 ,168.0. .168.0. DNS 75 Srandard query Ox537d AAAA sl.b¢ 
DNS 
DNS 
DNS 
DNS 
DNS 
DNS 


192.168.0.114 


9 0.001695000 72 Standard query Ox98fe A tl.baid 
10 0.000042000 72 Standard query 0xdfa0 AAAA tl.b: 
11 0.000429000 72 Standard query Ox1669 At2.baidt 
12 0.000034000 72 standard query Ox5376 AAAA t2.b: 
13 0.000096000 122 standard query response Ox4cbd ¢ 
14 0.000000000 


169 standard query response Ox537d ¢ 
72 standard query Oxb281 A t3.baidt = 


图 3.47 捕获 的 数据 


(8) 从 该 界面 可 以 看 到 ， 所 有 的 数据 都 是 DNS。 此 时 可 以 通过 滚动 鼠标 ， 查 看 捕获 文 
件 过 程 中 访问 过 的 网 站 。 


3.10 捕获 特定 ICMP 数据 


互联 网 控制 消息 协议 (ICMP) 是 一 种 协议 。 当 一 个 网 络 中 出 现 性 能 或 安全 问题 时 ， 将 
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会 看 到 该 协议 。 在 这 种 情况 下 ， 用 户 必须 使 用 一 个 偏 移 量 来 表示 在 一 个 ICMP 中 字段 的 位 
置 。 偏 移 量 为 0 表示 是 ICMP 字段 类 型 ， 偏 移 量 为 1 表示 ICMP 的 位 置 代码 字段 。 

下 面 将 列 出 几 个 ICMP 捕获 过 滤器 的 结构 。 
icmp: 捕获 所 有 ICMP 数据 包 。 
icmp[0]=8: 捕获 所 有 ICMP 字段 类 型 为 8 (Echo Request) 的 数据 包 。 
icmp[0]=17: 捕获 所 有 ICMP 字段 类 型 为 17 (Address Mask Request) 的 数据 包 。 
icmp[0]=8 or icmp[0]=0: 捕获 所 有 ICMP 字段 类 型 为 8 (Echo Request) 或 ICMP 
字段 类 型 为 0 (Echo Reply) 的 数据 包 。 
icmp[0]=3 and not icmp[1]=4: 捕获 所 有 ICMP 字段 类 型 为 3 (Destination 
Unreachable) 的 包 ， 除 了 ICMP 字段 类 型 为 3/ 代 码 为 4 (Fragmentation Needed and 
Don't Fragment was Set) 的 数据 包 。 
【实例 3-11】 捕获 ICMP 协议 数据 包 。 有 具体 操作 步骤 如 下 所 示 。 
(1) 在 工具 栏 中 单 击 回 按 钮 ， 打 开 捕 获 选 项 界面 ， 如 图 3.48 所 示 。 


Wireshark: Capture Options 


回国 加 刁 


口 


Capture 
Capture Interface Link-layer header Prom. Mode Snaplen [B] Buffer [MiB] Capture Fiker < 
本 地 连接 2 
固 。 fs8o-548ba761b6e5c5c Ethernet enabled 。 defauk 2 
1921680104 
本 地 连接 | 
团 。 fs80-744ca0ewdbfd769 Ethernet enabled defaukt 2 


| 192168.6101 
| 一 II 本 本 Cm IE » 
DC 一 和 一 一 一 一 一 一 2 一 2 一 一 一 一 0 一 一 一 2 


图 3.48 ”捕获 选项 


(2) 在 该 界面 的 捕获 区 域 ， 勾 选 捕 获 数据 的 接口 (本 地 连接 ) 的 复 选 框 。 在 这 个 捕获 
区 域 双击 选择 接口 行 的 任何 一 处 ， 启 动 编辑 接口 设置 窗口 ， 如 图 3.49 所 示 。 

(3) 在 该 界面 的 Capture Filter 文本 框 中 输入 icmp， 如 图 3.49 所 示 。 如 果 用 户 在 后 面 
还 要 使 用 该 过 滤器 ， 可 以 通过 单 击 Capture Filter 按钮 ， 来 添加 该 捕获 过 滤器 ， 如 图 3.50 
所 示 。 


Ml wiresharic Capture Filter - Profile: Defauk [一 > 一 
ER — Capture Fiter 
Iponly 
i [= fa Fg 192.168.0.1 
Capture | Tcp only 
JInterface; 本 地 连接 upp on 
Yp address |fe80:744ca0ee:dbfd:769 < | Tcp or UDP por so (HTTP) 
192.168.6.101 汉 HTTP Tcp port (a0) 
ey | No ARP and no DNS 
ee te 
EE Limit each packet to 65535 bytes | 
Buffer sze: 2 3 mebbyte(s) pd 


Sopwreriter lieng | | terse emp 
Eup gx | Ce | Hep 


图 3.49 接口 设置 界面 图 3.50 创建 捕获 过 滤器 
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(4) 在 该 界面 设置 过 滤器 的 名 称 〈 这 里 设置 名 称 为 ICMP only) ， 单 击 New 按钮 添加 
过 滤器 。 然 后 单 击 OK 按钮 ， 将 显示 如 图 3.51 所 示 的 界面 。 


vreiong Sis 


Capture 

Capture Interface Link-layer header Prom. Mode Snaplen [B] Buffer [MiB] Capture Fiter ~ 

本 地 连接 
团 。 fs80-744ca0eedbkt769 Ethernet enabled default 2 icmp 
1921686101 

5 到 » 

A 

园 Use promiscuous mode on all interfaces 

上 = 
Capture Fies Desplay Optons 

Fle: [Htraces\emp.pcapng [Browse] Update fist of packets in real ime 

Ee pop 园 Automatical scroll during live capture 

园 Net fle every 1 megabyte(s) 加 | 

园 Neafileevey |1d 目 [mnuet 加 | 加 Hide capture info dialog 

Ringbufferwith 2 fs Name Resoluton 

© Stop capture after 1 3 file(s) Resolve MAC addresses 
OTe Pe Pmt 问 Resolve network-leyer names 

四 |1 3 packet(s) 

2 一 加 Resolve transport-layer name 
1 3 megabyte(s) bd | 

四 |1 3 jminutel(s) [| Use gternal network name resolver 

Cup gore 


3.51 捕获 选项 


(5) 从 该 界面 可 以 看 到 创建 的 捕获 过 滤器 。 在 该 界面 指定 捕获 文件 的 位 置 , 单 击 Browse 
按钮 ， 选 择 并 保存 捕获 文件 。 本 例 中 设置 的 捕获 文件 为 iemp.pcapng。 然 后 设置 使 用 多 个 文 
件 ， 并 定义 下 一 个 生成 的 文件 为 每 10 秒 生成 一 个 1MB 的 文件 ， 如 图 3.51 所 示 。 单 击 Start 
按钮 ， 开 始 捕获 数据 。 

(6) 此 时 通过 执行 ping 命令 ， 以 产生 供 Wireshark 捕获 的 数据 。 

(7) 返回 到 Wireshark 界面 ， 单 击 夯 〈 停 止 捕获 ) 按钮 。 显 示 界 面 ， 如 图 3.52 所 示 。 


Fe Edt View Go Capture Anayze Statstics Telephony Ioos jntemak Hep 
四 轿 大 前 大 | 巴 外 X 多 | 尺 e 字 中 于 生 | 四 加 QQDI 贡 四则 区 | 加 
[+ | Expression Clesr Appy Save 


0.00014700 192.1 reply 
.00111500 192.1' .168.6. 74 Echo CDing) request 
.00129100 192.1' .168.6. 74 Echo (ping) reply 
.00245100 192.1| .168.6- 74 Echo (ping) request 

74 Echo (ping) reply 
74 Echo (ping) request 


74 Echo (ping) reply ,Seq-4/1024, 
ee mm | 


图 3.52 ”捕获 的 ICMP 数据 包 
(8) 从 该 界面 可 以 看 到 ， 捕 获 的 所 有 数据 包 的 Protocol 列 为 ICMP。 
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使 用 Wireshark 最 常见 的 问题 就 是 当 使 用 默认 设置 捕获 数据 时 , 会 得 到 大 量 元 余 信 息 ， 
以 至 于 很 难 找到 自己 需要 的 部 分 。 这 时 ， 就 需要 使 用 过 滤器 来 解决 这 个 问题 。 在 Wireshark 
中 ， 提 供 了 捕获 过 滤器 和 显示 过 滤器 。 上 一 章 介绍 了 捕获 过 滤器 的 使 用 技巧 。 通 常 经 过 捕 
获 过 滤器 过 滤 后 的 数据 ,往往 还 是 很 复杂 。 此 时 ， 可 以 使 用 显示 过 滤器 进行 更 细致 的 过 滤 。 
本 章 将 介绍 Wireshark 的 显示 过 滤器 应 用 技巧 。 


4.1 显示 过 滤器 简介 


显示 过 滤器 可 以 帮助 用 户 在 捕捉 结果 中 进行 数据 查找 。 该 过 滤器 可 以 在 得 到 的 捕捉 结 
果 中 修改 ， 以 显示 有 用 数据 。 显 示 过 滤器 的 界面 如 图 4.1 所 示 。 


古 http,pcapng [Wireshark 1107 (v1.10.7-0-g6b931a1 from master-1.10)] 本 0 ed 
Ele Edt Vew Go Capture Anayze Statistxs Telephony IToos Intemas Hep } 
QQQD| 本 凹 蚂 


Oa 让 关 多 | 人 AP 人 守 呈 生生 


图 4.1 显示 过 滤器 界面 


在 该 图 中 ， 每 部 分 的 含义 如 下 所 示 。 

@ 编 辑 、 应 用 显示 过 滤器 按钮 (工具 栏 中 )。 

@@ 显 示 过 滤器 按钮 ， 另 一 种 查看 、 编 辑 和 创建 显示 过 滤器 的 方法 。 

图 显示 过 滤器 区 域 : 包括 自动 补 全 和 语法 错误 检查 。 

@ 显 示 过 滤器 下 拉 列 表 。 

@Expression 按钮 : 用 来 创建 显示 过 滤器 。 

人 Clear 按钮 : 清除 在 显示 过 滤器 区 域 的 显示 过 滤器 。 

CApply 按钮 : 应 用 当前 的 显示 过 滤器 。 

@Save 按钮 : 保存 显示 过 滤器 表达 式 按 钮 。 

@ 新 建 的 过 滤器 表达 式 按钮 区 域 。 
捕获 过 滤器 仅 支持 协议 过 滤 ， 而 显示 过 滤器 既 支 持 协议 过 滤 也 支持 内 容 过 滤 。 所 以 ， 

显示 过 滤器 和 捕获 过 滤器 使 用 的 语法 也 不 同 。 下 面 将 介绍 显示 过 滤器 的 语法 。 
显示 过 滤器 语法 格式 如 下 : 


日 日 日 昌 品 日 日 口 


口 
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Protocol Stringl String2 Comparison operator Value Logical Operations Other 


expression 


以 上 各 选项 的 含义 如 下 所 示 。 


口 Protocol (协议 ) : 该 选项 用 来 指定 协议 。 该 选项 可 以 使 用 位 于 OSI 模型 第 2 一 7 
层 的 协议 。 

口 Stringl1，String2〈 可 选项 ) : 协议 的 子 类 。 

口 Comparison operators: 指定 比较 运算 符 。 可 以 使 用 6 种 比较 运算 符 , 如 表 4-1 所 示 。 


表 4-1 比较 运算 符 


英文 写法 C 语言 写法 含 4 
eq 一 等 于 
et > 大 二 
rt 小 于 
ge 大 于 等 于 
k 小 于 等 于 


口 Logical expressions: 指定 逻辑 运算 符 。 可 以 使 用 4 种 迪 辑 运算 符 ， 如 表 4-2 所 示 。 


表 4-2 座 辑 运算 符 
含义 
逻辑 与 
| 逻辑 或 
逻辑 异 或 
| | 远 辑 非 


4.2 使 用 显示 过 滤器 


显示 过 滤器 是 网 络 分 析 师 分 析 数 据 的 必要 工具 。 通 过 创建 、 编 辑 和 保存 显示 过 滤器 ， 
可 以 大 大 节约 查询 数据 所 需 的 时 间 。 捕 获 过 滤器 和 显示 过 滤器 使 用 的 语法 完全 不 同 。 捕 获 
过 滤器 使 用 BPF 语法 ， 而 显示 过 滤器 使 用 Wireshark 专 有 格式 。 本 节 将 介绍 使 用 显示 过 


滤器 。 


4.2.1 显示 过 滤器 语法 


显示 过 滤器 是 基于 协议 、 应 用 程序 、 字 段 名 或 特有 的 过 滤器 。 显 示 过 滤器 是 区 分 大 小 
写 的 , 但 大 部 分 的 显示 过 滤器 使 用 的 是 小 写字 符 。 下 面 分 别 介绍 这 几 种 过 滤器 的 语法 格式 。 


1. 协议 过 滤器 


口 amp: 显示 所 有 ARP 流量 ， 包 括 免费 ARP、ARP 请 求 和 ARP 应 答 。 
口 ip: 显示 所 有 IPv4 流量 ， 包 括 有 IPv4 头 部 嵌入 式 的 包 (如 ICMP 目标 不 可 达 的 数 


回 到 ICMP 头 后 进入 到 IPv4 头 部 ) 。 
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口 ipv6: 显示 所 有 IPv6 流量 ， 包 括 IPv4 包 和 有 IPv6 头 部 嵌入 式 的 包 。 
口 tcp: 显示 所 有 基于 TCP 的 流量 数据 。 
【实例 4-1】 过 滤 TCP 协议 数据 包 。 过 滤 方 法 如 图 4.2 所 示 。 


httppcapng [Wireshark 1107 (1107-0-96b931al from master-110)] > 二 


Ele Edt Vew Go Capture Anayze Statstxs Telephony Tooks jntemak Hep 
全 加 着 硬 打 | 马 钙 X 多 人 9 训 中环 | 四 加 aaQ ， 


4.2 协议 过 滤器 


应 用 过 滤器 


bootp: 显示 所 有 DHCP 流量 (基于 BOOTP) 。 

dns: 显示 所 有 DNS 流量 ， 包 括 基 于 TCP 传输 和 UDP 的 DNS 请 求 和 响应 。 

tftp: 显示 所 有 TFTP (简单 文件 传输 协议 ) 流量 。 

http: 显示 所 有 HTTP 命令 、 响 应 和 数据 传输 包 。 但 是 不 显示 TCP 握手 包 、TCP 
确认 包 或 TCP 断 开 连 接 的 包 。 

口 icmp: 显示 所 有 ICMP 流量 。 

如 使 用 应 用 过 滤器 ， 查 看 DNS 数据 ， 过 滤 的 方法 如 图 4.3 所 示 。 


| 大 dnspcapne [Wireshark 1107 (v1.10.7-0-g6b931a1 from master-1.10)] 


B.D 


ad@aAlAS 和 NDADOF QQQI 醒 国电 其 | 加 
[|-] epresson。 Clear Appy save 六 


Info 加 
80 Standard query Ox27a7 A 5uggestion.baid 
157 Standard query response Ox4f6c CNAME SU. 
75 Standard query Ox67d3 A baike.baidu.com | 
157 standard query response Ox3feb CNAME su, 
71 Standard query Ox6e78 A i.baidu.com 

150 standard query response 0x67d3 CNAME bk. 
75 Standard query Oxl7a4 A image.baidu.com 
207 standard query response Oxdd6e CNAME im 
73 Standard query Ox4b54 A map.baidu.com 
112 Standard query response Ox6e78 CNAME i.1 
Standard Pry Oxd648 A ao 


167 0. 007673000 过 
168 0.000734000 1 


mm 


| 183 0.122035000 8. 


184 0.000821000 192. 
185 0.004682000 8. 
187 0.000068000 1: 
196 0.002242000 8. 


EL 0. 00955000: 1 


dard query response 0 sut 
155 Standard query response Ox6a7a Er 
ery 


“D:\traces\dns.pcapng"” 913 kB 00:00:12 


图 4.3 应 用 过 滤器 
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外 注意 : 显示 过 滤器 是 区 分 大 小 写 的 。 当 查询 DNS 数据 时 ， 输 入 的 是 ns， 而 不 是 DNS。 
如 果 输入 DNS，Wireshark 显示 过 滤器 的 背景 将 显示 为 红色 ， 表 示 该 过 滤器 不 能 
运行 。 


3. 字段 存在 过 滤器 


口 bootp.option.hostname: 显示 所 有 DHCP 流量 , 包含 主机 名 (DHCP 是 基于 BOOTP)。 

口 http.host: 显示 所 有 包含 有 HTTP 主机 名 字段 的 HTTP 包 。 该 包 通常 是 由 客户 端 发 
送 给 一 个 Web 服务 器 的 请 求 。 

口 ftp requestcommand: 显示 所 有 FTP 命令 数据 ， 如 USER、PASS 或 RETR 命令 。 

4. 特有 的 过 滤器 


口 tcp.analysis.flags: 显示 所 有 与 TCP 标识 相关 的 包 ， 包 括 丢 包 、 重 发 或 者 零 窗 口 
标志 。 
口 tcp.analysis.zero_window: 显示 被 标志 的 包 ， 来 表示 发 送 方 的 缓冲 空间 已 满 。 


4.2.2 ”检查 语法 错误 


在 使 用 Wireshark 时 ， 可 以 通过 过 滤器 的 背景 色 来 判断 使 用 的 语法 是 否 正确 。 显 示 过 
滤器 判断 语法 是 否 正确 有 3 种 背景 色 ， 分 别 是 红色 、 绿 色 和 黄色 。 下 面 将 分 别 介绍 这 3 种 
背景 色 的 区 别 。 


1. 过 滤器 背景 为 红色 

当 显 示 过 滤器 背景 色 为 红色 时 ， 表 示 该 过 滤器 不 能 运行 。 当 单 击 Apply 按钮 时 ， 
Wireshark 将 出 现 一 个 错误 提示 窗口 。 

【实例 4-2】 下 面 演示 使 用 一 个 错误 的 表达 式 。 

(1) 在 过 滤器 中 输入 表达 式 ip.addr=10.2.2.2， 将 显示 如 图 4.4 所 示 的 界面 。 


“ @ dnspcapng Wireshark 1.107 (v1.107-0-96b931a1 from master-1.10)] I =) 


Ele Edt View Go Capture Anayze Statstics Telephony Iooks Intemas Hep 
人 加 看 硬 区 | 巴 四 其 多 | 扩 9 中 国字 业 | 国 加 el 本 加 昌 > 
peesion oon [CS ， 

No Time Source Destination Protocol Length Info 

| 225 0.012329000 8.8.8.8 192.168.0.107 DNS 155 Standard query response cal 

| 278 0.024473000 8.8.8.8 192.168.0.107 DNS 116 scandard query response Ox4b 

| 279 0.001164000 192.168.0.107 8.8.8.8 DNS 74 Standard query Oxc61d A newa| 

| 292 0.000208000 192.168.0.107 8.8.8.8 DNS 73 standard query 0x3869 A dj2™ 

| 328 0.124327000 8.8.8.8 192.168.0.107 DNS 118 standard query response Oxc6: 
329 0.000950000 192.168.0.107 8.8.8.8 DNS 78 Standard query Oxb4c3 A pas' 
330 0.000389000 8.8.8.8 192.168.0.107 DNS 119 standard query response Ox38; 
344 0. 030561000 192.168.0.107 114.114.114.114 DNS 75 Standard query Ox17a4 A imal 
345 0.000098000 192.168.0.107 8.8.8.8 iS 75 Standard query Ox17a4 A imal 
346 0.009854000 192.168.0.107 114.114.114.114 DNS 75 Standard query Oxd648 A mus 
347 0.000044000 192.168.0.107 8.8.8.8 DNS 75 Standard query Oxd648 A mus 
348 0.013187000 114.114.114.11.192.168.0.107 DNS 120 standard query response Ox17, . 

a ss am ace nan 一 一 一 一 一 一 
@m Invald fer: "=" was unexpected in this context. Pac... | Profie: De... 
图 4.4 语法 错误 
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(2) 从 该 界面 可 以 看 到 ， 显 示 过 滤器 的 背景 色 为 红色 ， 表 示 该 过 滤器 不 能 运行 。 如 果 
单 击 Apply 按钮 ， 将 显示 如 图 4.5 所 示 的 界面 。 


a sie EE 


"ip.addr=10.2.2.2" isn't a valid display 
filter: "=" was unexpected in this context. 


See the hep for a descrption of the display fer syntax. 


图 4.5 错误 提示 

(3) 从 该 界面 可 以 看 到 提示 ip.addr=10.2.2.2 不 是 一 个 有 效 的 显示 过 滤器 。 

2. 过 滤器 背景 为 绿色 

当 显 示 过 滤器 背景 为 绿色 时 ， 表 示 该 过 滤器 语法 正确 并 可 以 运行 。 
全 注意 :' Wireshark 并 不 会 检查 过 辑 表 达 式 。 

例如 ， 对 于 http && udp 表达 式 ， 通 常 HTTP 会 话 使 用 的 是 TCP 协议 ， 而 不 是 UDP 
协议 。 所 以 如 果 在 显示 过 滤器 中 输入 http && udp， 通 常 没有 匹配 的 数据 包 。 尽 管 该 过 滤器 
是 不 合理 的 ， 但 是 Wireshark 能 处 理 。 因 为 它 通 过 了 语法 检查 。 验 证 http && udp 过 滤器 ， 
将 显示 如 图 4.6 所 示 的 界面 。 


dns.pcapng [Wireshark 1.10.7 (v1.10.7-0-96b931al from master-1.10)] Se 
Ele Edt Vew Go Capture Anayze Statistics Telephony Ioos Intemas Hep 
Qe 生硬 下 | 已 由 关 多 | AAA“ 中 是 业 回国 QaQ ， 


rnp eee cee» 


INo. Time Source Destination Protocol Length Info 


| 
| 
dl 四 "| 
© | Fie: “D:\traces\dns.pcapng... | Packets: 1772 * Displayed: 0 (0.0%) * Load tm... | Profie: Defau | | 


图 4.6 语法 正确 


从 该 界面 可 以 看 到 在 Packet List 面板 中 ， 没 有 显示 任何 数据 包 。 显 示 过 滤器 区 域 的 背 
景色 为 绿色 ， 这 表示 http && udp 过 滤器 正常 运行 ， 但 是 没有 匹配 htt && udp 过 滤器 的 数 
据 包 。 

但 是 ， 有 时 候 会 过 滤 出 SSDP 协议 的 数据 包 ， 因 为 该 协议 匹配 使 用 的 过 滤器 。SSDP 
是 一 个 简单 服务 发 现 协议 , 该 协议 发 送信 息 都 是 依靠 HTTPU 和 HTTPMU 实现 的 , 并 且 传 
输 时 使 用 UDP 端口 号 1900。 其 中 ，HTTPU 和 HTTPMU 协议 都 是 从 HTTP 协议 中 派生 定 
义 出 来 的 。 主 要 用 于 传送 SSDP 格式 的 设备 消息 。 匹 配 http && udp 过 滤器 的 数据 包 ， 如 
图 4.7 所 示 。 


3. 过 滤器 背景 为 黄色 
当 显 示 过 滤器 背景 为 黄色 时 ， 表 示 该 过 滤器 语法 正确 。 但 是 ， 可 能 不 会 过 滤 出 用 户 想 
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要 过 滤 的 数据 包 。 当 在 显示 过 滤器 表达 式 中 输入 (= 比较 运算 符 后 ， 该 颜色 将 会 自动 触发 。 
这 是 为 了 避免 指定 一 个 字段 名 时 ， 可 能 匹配 一 个 包 中 的 两 个 字段 。 例 如 ip.addr 过 滤器 ， 表 
示 过 滤 源 和 目标 为 IPv4 地 址 的 字段 。 再 比如 tcp.port 过 滤器 ， 表 示 过 滤 源 和 目标 端口 的 
字段 。 


(A irr Wester 1107 Wr197 998951e1 tom oser 1101 [a 
Fe Ede Vew Go Cpture anaye Statstcs Telephony Toos lntemas deb 
SO 马 信息 多 | 人 A 外 呈 守 昌国 /QaQG > 


om 
© W|I Fie: ‘DAtrces\dns .papng... | Packcts: 1772* Depby>d: 37 (2.1%) * Load t.. 


图 4.7 过 滤 的 SSDP 包 


【实例 4-3】 下 面 是 过 滤器 背景 颜色 为 黄色 的 例子 。 在 过 滤器 中 输入 ip.src!=192.168.0.102 
表达 式 ， 将 显示 如 图 4.8 所 示 的 界面 。 


属 dnspcapng Wireshark1107 WLi0706b93lalfommaseriiml ETIGEE 
Ele Edt View Go Capture Anayze Statistics Telephony IToos Intemas Hep 

CECR > 
Fiker Expression.. Clear » 


INo. Time Source Destination Protocol Info 四 
73 Standard query 0xcda2 A 


119 srandard query 


74 Standard query Oxdd6e A 1 


4.8 警告 


从 该 界面 可 以 看 到 过 滤器 的 背景 色 为 黄色 ， 表 示 仅 有 一 个 字段 可 以 匹配 该 过 滤器 。 
4.2.3 识别 字段 名 


许多 显示 过 滤器 都 是 基于 字段 名 来 使 用 的 ， 如 http.host。 由 于 字段 名 较 多 ， 用 户 往往 
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很 难 记 住所 需要 信息 对 应 的 字段 和 名。 这 时 ， 用 户 可 以 在 包 显示 列表 中 选择 要 过 滤 的 字段 ， 
然后 在 状态 栏 中 找到 该 字段 对 应 的 字段 名 。 下 面 来 看 一 个 字段 名， 如 图 4.9 所 示 。 
PT Cp loli 


Ele Edt Vew Go Capture Anayze Statstics Telephony Took Intemas Hep 
OOHI| 电 外 XX 多 | 和 中 呈 了 和 业 | 四 国 QaaQaQD 的 >» 


Fiker 加 Expression.. Clear » 
No Time Source Destination Protocol Length Info ^ 
1 0.000000000 Giga-Byt_0b:00:4f Broadcast ARP 60 who has 192.168.0.111? ° 
2 0.490913000 192.168.0.104 61.182.140.146 TCP 66 51833 > http [SYN] Seq= 
30.020955000 61.182.140.146 192.168.0.104 Tcp 60 hrtp > 51833 [SYN, ACK] 
4 0.000013000 192.168.0.104 61.182.140.146 TCP 60 51833 > http [ACK] Seq= 
5 0.025257000 192.168.0.104 61.182.140.146 HTTP 268 GET /pc/qqclient/sfile/ 
6 0.025249000 61.182.140.146 192.168.0.104 TCP 60 htrtp > 51833 [ACK] Seq= ~ 
» 


田 Ethernet II, Src: Giga-Byt_c8: :6f:65:c8:4cC:89), Dst: Tp-LinkT_f9:3c:c0 ( 
田 Internet Protocol Version 4, Sr 。 .104 (192.168.0.104), Dst: 61.182.140.14 


图 4.9 识别 字段 名 


这 里 以 Packet List 面板 中 的 第 5 帧 为 例 。 单 击 第 5 帧 ， 将 会 在 Packet Details 面板 中 看 
到 如 图 4.9 所 示 的 信息 。 在 Packet Details 面板 中 展开 HTTP 头 部 ， 单 击 包 的 HTTP 会 话 中 
的 Request Method 行 。 此 时 在 状态 栏 中 看 到 的 字段 名 为 http.request.method, 如 图 4.9 所 示 。 

看 到 该 字段 名 后 ， 就 可 以 在 过 滤器 中 使 用 了 。 在 过 滤器 中 输入 http.request.method， 将 
显示 包含 该 字段 的 所 有 包 ， 如 图 4.10 所 示 。 


httppcapng Wireshark 1107 (v107-0-96b931a1 from master-110)] I [ey 
Fle Edt Vew Go Capture Anayze Statstics Telephony Iook Intemas Hep 
OO 和 8 安 自 尖 久 | 人 全 中 国定 生 QQQI 本 国电 基 | 加 


区 ee 日 re 


Destination Protocol Length lnfo 
5 0.025257000 .168.0. 61.182.140.146 268 GET /pc/qqclient/sfile/index.j: 
565. 55. 69.140 179 GET /r/r1idwarsonRc14 HTTP/1.1 时 
65.55,227,140 209 GET /download/file.aspx?AssetI0 
239.255.255.250 307 
239.255.255.250 
239.255.255.250 
239.255.255.250 
239.255.255.250 
239.255.255.250 
330 ?ss ?ss ?sn 


EEEEEEE 


[5] ER II, Src: Giga-Byt_c8. 
Internet Protocol Version 4, : 
H Transmission Control Protocol, Src Por' 


图 4.10 http requestmethod 过 滤器 
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该 界面 显示 了 使 用 http.request.method 过 滤器 后 , 显示 的 所 有 数据 包 。 在 状态 栏 中 显示 


了 捕获 文件 http.pcapng 过 滤 出 的 信息 ， 该 包 文件 中 包含 401 个 包 ， 并 且 仅 有 31 个 包 匹 配 


4.2.4 比较 运算 符 


Wireshark 支持 许多 个 比较 运算 符 。 用 户 可 以 通过 比较 运算 符 来 创建 过 滤器 , 这样， 过 


滤器 可 以 搜索 到 特定 的 字段 值 。 下 面 列 出 Wireshark 中 可 用 的 儿 种 比较 运算 符 。 


1， 等 于 == 或 eq 

ip.src 一 10.2.2.2: 表示 显示 来 自 10.2.2.2 的 所 有 IPv4 数据 。 

2. 不 等 于 != 或 ne 

tcp.srcport != 80: 表示 显示 来 自 除 80 端口 外 的 所 有 TCP 数据 。 

3. 大 于 > 或 gt 

frame time relative > 1: 在 捕获 文件 中 ， 显 示 时 间 差 超过 1 秒 的 数据 。 

4. 小 于 < or 上 t 

tcp.windows_size < 1460: 显示 TCP 接收 窗口 小 于 1460 个 字 节 的 数据 。 

5. 大 于 等 于 >= or ge 

dns.count.answers >= 10: 显示 DNS 响应 包 ， 要 求 该 包 中 至 少 包含 10 个 响应 包 。 
6. 小 于 等 于 <= or lt 

ip. 世 <10: 显示 TIL 字段 值 小 于 10 的 数据 。 

7. 包含 contains 

http contains "GET": 显示 HITP 客户 端 发 送 给 HTTP 服务 器 的 所 有 GET 请 求 数据 。 
8. 匹配 matches 


ftp.request.arg matches "admin": 显示 匹配 admin 字符 串 的 数据 。 


全 提示 : 在 操作 符 的 两 边 不 需要 有 空格 。 如 过 滤器 ip.src 一 10.2.2.2 和 ip.src 一 10.2.2.2 是 


一 样 的 。 


4.2.5 ”表达 式 过 滤器 


器 了 


如 果 不 知道 如 何 使 用 过 滤器 ， 可 以 查看 Wireshark 默认 定义 的 表达 式 。 单 击 显示 过 滤 


[ 具 栏 上 的 Expression 按钮 ， 即 可 查看 默认 的 表达 式 过 滤器 。 在 表达 式 过 滤器 窗口 中 ， 
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选择 应 用 程序 或 协议 的 名 称 后 会 自动 跳 转 到 想 要 查看 的 数据 包 位 置 。 下 面 将 介绍 表达 式 过 
滤器 。 

【实例 4-4】 下 面 演示 使 用 表达 式 过 滤器 。 具 体操 作 步 又 如 下 所 示 。 

(1) 打开 过 滤器 表达 式 窗口 。 在 显示 过 滤器 工具 栏 中 , 单 击 Expression 按钮 , 如 图 4.11 
所 示 。 


图 4.11 打开 表示 式 窗口 
(2) 在 该 界面 单 击 Expression 按钮 后 ， 将 显示 如 图 4.12 所 示 的 界面 。 


Value (Unsgned nteger, 4 bytes) 


日 SMB - SMB (Server Message Block Protocol “| [is present 
ntaccess_mask - Access required Access == 
mLaccess_.maskaccess_sacl - Access SACL | I= 
ntaccess_mask.delete - Delete > 
taccess_.maskgeneric_all - Generic all < 
ntaccess_mask generic_execute - Generic >= 
ntaccess_.maskgeneric_read - Generic ret_ | <= 
ntaccess_mask generic_write - Generic wr 
taccess_maskmaximum_allowed - Maxir 
taccess_maskeread_control - Read contn 
taccess maskcspecific 0 - Specific accest 


1 ld 
上 Range (offset:ength) 
Ee am re ---- 

+ 


er 


图 4.12 过 滤器 表达 式 窗口 


(3) 从 该 界面 可 以 看 到 过 滤器 表达 式 窗口 分 为 三 部 分 。 其 中 左边 显示 的 是 预先 定义 好 
的 字段 名 ; 中 间 显 示 的 是 比较 运算 符 ; 右边 显示 的 是 字段 值 。 本 例 中 选择 使 用 smb.nt_status 
字段 、!= 运 算 符 和 预先 定义 的 STATUS_SUCCESS 值 。Wireshark 显示 了 NT Status 字段 的 
值 为 0x0， 表 示 响 应 成 功 。 然 后 单 击 OK 按钮 ， 将 显示 如 图 4.13 所 示 的 界面 。 


四 加 看 是 着 | 所 外 X 包 | 及 9 宁国 于 业 | 辐 加 得 避 人 日 | 本 回电 基 | 加 
Protocol Length Info 
下 se = 


> http [Ack] seq=: 
268 Er re 
1833 [ACK] Seq=: 


图 4.13 添加 的 显示 过 滤器 
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(4) 从 该 界面 可 以 看 到 并 没有 响应 SMB 相关 的 信息 。 因 为 ， 在 过 滤器 表达 式 窗口 单 
击 OK 按钮 后 ，Wireshark 不 会 自动 运行 该 过 滤器 ， 只 是 将 该 过 滤器 添加 到 过 滤器 区 域 。 此 
时 ， 需 要 单 击 Apply 按钮 后 才 可 以 过 滤 SMB 数据 。 


4.2.6 使 用 自动 补 全 功能 


使 用 表达 式 显示 过 滤器 时 , 也 可 以 通过 自动 补 全 的 方法 来 实现 。 使 用 自动 补 全 的 功能 ， 
可 以 快速 找到 可 用 的 显示 过 滤器 。 例 如 ， 使 用 http.request.method 过 滤器 时 ， 当 用 户 输入 
http.( 包 括 小 数 点 ) 后 ,将 会 看 到 以 http. 开 头 的 所 有 显示 过 滤器 的 列表 .继续 输入 http.requests. 
时 ， 将 看 到 以 该 短语 开头 的 过 滤器 ， 如 图 4.14 所 示 。 


Fle Edt Vew Go Copture Anayze Statstics Telephony Too5 Intemas Hep 
RE 
Fiker: 


No， Time http.requestfull_uri 
5 0.02 


了 0.06 htprequestmethod 
8 0.00 http-requestuni 
| 93 o.oc 
| 98 ooz Preauestversion 
105 0.000001000 192.168.0.104 65.55.227.140 
107 0.100960000 55.55.227,.140 192.168.0.104 


1 加 | » 


图 4.14 ”自动 补 全 表达 式 


【实例 4-5】 使 用 自动 补 全 功能 查看 指定 HTTP 服务 的 数据 。 操 作 步 又 如 下 所 示 : 

(1) 打开 一 个 捕获 文件 ， 名 为 http-host.pcapng。 该 文件 是 通过 访问 www.baidu.com 网 
站 捕获 到 的 大 量 DNS 和 HTTP 数据 。 

(2) 在 显示 过 滤器 中 ， 对 http-host.pcapng 捕获 文件 使 用 自动 补 全 功能 。 首 先 使 用 http 
过 滤器 查看 捕获 到 的 HTTP 数据 ， 在 显示 过 滤器 区 域 输入 http， 并 按 下 Apply 按钮 ， 将 显 
示 如 图 4.15 所 示 的 界面 。 


~ Vo WV 2 bo 3 ye. b> mr 
2 


177 0.049166000 192.168.0.107 61.135.169.105 HTTP 771 SET na 
179 0. 000185000 192.168.0.107 119.188.9.49 HTTP 394 GET /static/superplus, - 


Yet mm MNTNEANNN E14 HIF 1EN NNE NNT te mm sn7 rm ee rn 3 nm 
4 器 » 


图 加 | Fie: "Di\traces\httph... | Packets: moo 2 00.0%- Load tme: 0:00.127 Profie: Defauk 


图 4.15 _ HTTP 数据 


从 该 界面 的 状态 栏 中 可 以 看 到 ， 匹 配 过 滤器 的 数据 有 225 个 。 如 果 将 TCP 首选 项 中 的 
Allow subdissector to reassemble TCP streams 选项 启用 后 ， 显 示 匹 配 过 滤器 的 数据 为 68 个 。 

(3) 在 显示 过 滤器 http 后 添加 一 个 “(点 ) ”， 将 显示 所 有 以 http. 样 式 开 头 的 匹配 过 
滤器 列表 ， 如 图 4.16 所 示 。 

(4) 在 该 界面 向 下 滚动 鼠标 找到 http.host 过 滤器 。 然 后 双击 该 过 滤器 , 将 显示 如 图 4.17 
所 示 的 界面 。 
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Be Ele Vew Go Cotre Anae Smteves eephony To05 Intemas Heb 
0amdl 人 oA oT | 国 国 aaam| 田 罗 关 | 侣 


Length Info 
74 Standard query Oxbd7a A 必 


74 standard query Ox7a51 A7 
74 Standard query Ox0edc A 8, 
66 51160 > htrp [SYN] Seq=0 


回回 着 硬 达 | 巴 外 外 | 尺 站 吕 国 了 和 业 | 四 加 QDII 本 四则 
por peer ocr sooy 


Time Source Destination Protocol Length Info 
36 0.000206000 192.168.0.107 61.135.169.105 738 GET / HTTP/1.1 
| 175 0. 000( 9.105 1 a P HTTP 


图 4.17 添加 的 过 滤器 


(5) 从 该 界面 可 以 看 到 在 显示 过 滤器 中 ， 添 加 了 http.host 过 滤器 。 此 时 ， 单 击 Apply 
按钮 ， 将 显示 如 图 4.18 所 示 的 界面 。 


( http-host pcspng Wireshark 1107 (v1107-0-96b93191 from master-110)) x 
[Be Edt Vew Go Capture Anayie Statsics Teephony Took Intemas Heb - 

| 加 着 硬 加 | 巴 全 其 多 | 六 9 四 了 和 业 国 加 QDII 本 加 网 苏 | 马 
rr 


o. Time Source Desination Protocol Length Info 


4 


|® YH [Pie: Daceshttph.., | Packets: 749 Dropped: 0 (0.0%) “Load bme 000.018 |Profie: Defauk | 


图 4.18 匹配 http.host 过 滤器 的 数据 


(6) 该 界面 显示 了 匹配 http.host 过 滤器 的 所 有 数据 ,从 状态 栏 中 可 以 看 到 共有 39 个 数 
据 包 。 这 些 包 中 都 包含 有 一 个 HITP Host 字段 。 


4.2.7 手动 添加 显示 列 


如 果 过 滤 后 的 数据 包 仍 然 很 多 ， 通 过 滚动 鼠标 查看 每 个 包 的 HTTP Host 字段 显然 有 点 


。90 。 


第 4 章 显示 技巧 


麻烦 。 这 时 可 以 为 该 字段 添加 一 列 ， 这 样 就 可 以 很 容易 地 查看 到 连接 的 主机 。 

在 前 面 已 经 介绍 过 添加 列 的 方法 ， 如 果 在 前 面 将 添加 的 Host 列 隐 藏 的 话 ， 只 需要 右键 
单 击 任何 一 列 选择 Displayed Columns|Host(http hosb 命 令 显 示 Host 列 。 如 果 没 有 添加 Host 
列 的 话 ， 在 Package Details 面板 中 展开 Hypertext Transfer Protocol 会 话 ， 右 键 单 击 Host 字 
段 并 选择 Apply as Column 选项 。 添 加 完 后 ， 界 面 如 图 4.19 所 示 。 


http-hostpcapng [wireshark 1107 (v1.10.7-0-g6b931a1 from master-110)] Wh 

Ele Edt Vew Go Capture Anayze Statstics Telephony Toos Intemas Hep 

同 回 而 硬 厅 | 巴 外 X 凶 | 扩 9w 中 于 业 | 国 国人 QI 可 国 网 苏 | 世 

or 
Info 


INo. Time Source Destination 
36 0.000206000 192.168.0.107 61.135.169.105 


© [Expert Info (Chat/sequence): GET / HTTP/1.1\r\n] 
[Message: GET / HTTP/1.1\r\n] 
[severity level: Chat] 
[Group: Sequence] 

Request Method: GET 

Request URI: / 


图 4.19 添加 了 Host 列 


从 该 界面 可 以 看 到 添加 的 Host 列 。 通 过 查看 该 捕获 文件 ， 可 以 发 现在 访问 Web 网 站 
时 ， 有 很 多 主机 《客户 端 请 求 ) 字段 。 这 时 候 可 以 通过 Host 列 ， 分 析 访 问 的 Web 站 点 。 
分 析 Host 列 时 ， 可 以 使 用 过 滤器 搜索 到 客户 端 发 送 给 一 个 特定 服务 器 的 信息 。 如 上 例 中 提 
到 的 www.baidu.com 站 点 ， 这 里 搜索 baidu 关键 字 。 在 显示 过 滤器 中 输入 http.host contains 
"baidu"， 然 后 单 击 Apply 按钮 ， 将 显示 如 图 4.20 所 示 的 界面 。 
http-hostpcapng [Wireshark 1107 (v1107-0-96b931a1 from master-1.10)] [eS 1® lm 


Ele Edt Vew Go Capture Anayze Statstics Telephony IToos Intemas Hep 
本 加 着 三 折 | 巴 外 X 包 | 信和 四 于 业 | 国 加 QDII 本 四则 > 


mr Ge Appy » 


No. Time Protocol Length Info <^ 
36 0. 000206000 儿 活 168.0.107 蒜 吉 这 135.169.105 HTTP 738 GET / HTTP/1.1 
177 0.049166000 192.168.0.107 61.135.169.105 HTTP 771 GET ne | 
262 0.011712000 192.168.0.107 61.135.186.152 HTTP 1014 GET /v.g9if?mod=-superf -| 
4 则 | 
Request Method: GET -|| 
Request URI: / | 
Request Version: HTTP/1.1 a 


Cnnerri ve\r\n 


图 4.20 搜索 baidu 关键 字 的 包 


从 该 界面 可 以 看 到 匹配 http.host contains "baidu" 过 滤器 的 所 有 数据 ， 从 状态 栏 中 可 以 
看 到 共有 12 个 包 匹 配 该 过 滤器 。 
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接 下 来 就 可 以 查看 一 个 特定 的 命令 了 (如 POST、GET) 。 这 里 选择 查看 POST 命令 ， 
具体 操作 步骤 如 下 所 示 。 

(1) 查 看 Packet Details 面板 中 任意 一 个 包 的 HITP 会 话 , 确定 HTTP 会 话 被 完整 展开 ， 
如 图 4.21 所 示 。 


(http-hostpcapng IWireshak 1107 wLl07-0-96b93lalfommasterlll lois 
Ee Edt View Go Capture Anayze Statistics Telephony Toos Intemas Hep 

O00#ld| 电 KSDIA 中 中 OF 和 和 上 1 醒 国 网 » 
加 epesson。 cer 


Protocol Length Info 
HTTP 462 GET / HTTP/1.1 


Fiker Apply » 


INo. Time Source 
147 0.074268000 192.168.0.108 


Destination 
162.159.242.165 


148 0.277239000 192.168.0.108 
‖ 149 0.000219000 192.168.0.108 


123.125.115.67 TCP 
123.125.115.67 Tp 


| 器 


66 55058 > htrp 
66 55059 > hrrp 『 


ls 
ll 日 


田 [Expert Info (Chat/sequence): GET / HTTP/1.1\r\n] 


Request URI: le 


Request Version: HTTP/1.1 
Host: www.wireshark.org\r\n 
Connection: keep-alive\r\n 
Accept: text/html ,application/xhtml+xml,application/xml; q=0.9,image/webp,"*/*;q=0. .8\r"| 
User-Agent: Mozilla/5.0 (windows NT 6.1; WOw64) ApplewebKit/537.36 (KHT™ML, like Geckcs 
Accept-Encoding: gzip,deflate,sdch\r\n 
Accept-Language: zh-CN,zh;q=0.8\r\n 
cookie: cfduidedlbldaa9fa283babb83ff40a7c37edadc1400636470582\r\n 
NrNn 


[HTTP _ request 1/9] 


40 b0 78 df 00 00 20 2f 20 48 54 54 50 
2f 31 2e 31 0d 0a 74 3a 20 77 77 77 2e 
77 69 72 65 73 68 61 72 6b 2e 6f 72 67 0d 0a 43 
60 6f 6e 6e 65 63 74 69 6f 6e 3a 20 6b 65 65 70 2d 
61 时 69 76 65 0d 0a 41 63 63 55 70 74 3a 20 74 


| HT es CMethod i IE in Ds 1010 (100.0%) “DG [PRE Derauk 


= = J 


HO St: Www. 
wireshar k.org..C 


图 4.21 HTTP 会 话 


(2) 从 展开 的 HITP 会 话 中 ， 找 到 Request Method 字段 。 单 击 该 字段 ， 将 会 在 状态 栏 
中 看 到 该 字段 名 为 http.request.method。 这 里 使 用 该 字段 查找 一 个 POST 请 求 ， 在 显示 过 滤 
器 区 域 输入 http.requestmethod=="POST"， 并 单 击 Apply 按钮 ， 将 显示 如 图 4.22 所 示 的 


[Wireshark 1.107 (vL.107-0-g6b931a1 from master-1.10)] 
Ele Edt Vew Go Capture Anayze Statstics Telephony Ioos Intemas Hep 
四 加 看 硬 项 | 巴 外 其 多 | 广 浊 宁国 于 卫 


Host: www.wireshark.org\r\n 
Connection: keep-alive\r\n 


s | 
65 c8 4c 89 08 00 45 00 
00 00 c0 a8 00 6c a2 9f a 
AT aN 97 hr ?7K Fh SN 12 n 
64 5f 和 65 61 63 6f Se 


eg 73 f9 3c cO 1c 6f 
9c 38 d5 40 00 40 06 
as dA7 NR NN sn M1 27 
9 61 67 65 73 70 65 65 


3? Er 234 se ?4 374 


和 志 


ao 二 


图 4.22 搜索 到 的 POST 命令 包 
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(3) 从 该 界面 可 以 看 到 有 两 个 包 匹 配 http.request.method 一 "POST" 显 示 过 滤器 。 从 
Packet Details 面板 中 ， 可 以 看 到 该 包 的 详细 信息 。 


4.3 编辑 和 使 用 默认 显示 过 滤器 


Wireshark 包括 15 个 默认 显示 过 滤器 。 用 户 可 以 使 用 其 中 一 个 作为 参考 ， 来 创建 新 的 
显示 过 滤器 。 使 用 这 些 默 认 显示 过 滤器 ， 可 以 更 高 效 地 分 析 抓 包 数 据 。 本 节 将 介绍 编辑 和 
使 用 默认 显示 过 滤器 。 

打开 显示 过 滤器 窗口 ， 可 以 通过 单 击 Filter 按钮 〈 显 示 过 滤器 区 域 左边 的 按钮 ) ， 或 
单 击 工具 栏 中 的 国 〈 编 辑 /使 用 显示 过 滤器 ) 按钮 来 实现 ， 如 图 4.23 所 示 。 

TO 一 
He Edt Vew Go Capture Anayze Statstics Telephony Took Intemas Hep 
ooamad Saxs a**oT Daaag da . 


ne 


|@ Wh [HTTP Host http host... | Packets: 749 Depiayed: 12 (1.6%) “Load trne: 0:00.025 | Profle: DefauR 


图 4.23 打开 显示 过 滤器 窗口 
使 用 以 上 的 其 中 一 种 方法 打开 显示 过 滤器 ， 界 面 如 图 4.24 所 示 。 


Ethernet address 00:08:15:00:08:15 
Ethernet ype 0x0806 (ARP) 
) Ethernet broadcast 
No ARP 
lp only 
Jp address 192.168.0.1 
Jp address isn't 192.168.0.1, dont use != for this! 


IPX only 
Tcp only 
UDP only 


图 4.24 显示 过 滤器 窗口 


在 该 界面 显示 了 Wireshark 的 默认 显示 过 滤器 列表 。 如 果 要 使 用 这 些 过 滤器 ， 在 显示 
过 滤器 列表 中 选择 其 中 一 个 ， 然 后 单 击 OK 按钮 即 可 。 

在 使 用 默认 显示 过 滤器 之 前 , 需要 确定 这 些 默认 过 滤器 的 以 太 网 或 瑟 地 址 是 否 匹 配 自 
己 的 网 络 。 如 果 不 匹 配 的 话 ， 必 须要 编辑 该 过 滤器 或 使 用 根据 该 过 滤器 的 格式 创建 自己 的 
以 太 网 或 卫 地 址 过 滤器 。 
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【实例 4-6】 根据 默认 过 滤器 的 格式 ， 创 建新 的 过 滤器 。 具 体操 作 步 又 如 下 所 示 。 

(1) 使 用 ipconfig 或 这 onfig 命令 获取 主机 的 卫 地 址 。 

(2) 单 击 Filter 按钮 ， 打 开 显 示 过 滤器 窗口 ， 如 图 4.25 所 示 。 

(3) 在 该 界面 选择 默认 过 滤器 IP address 192.168.0.1， 如 图 4.25 所 示 。 这 时 单 击 New 
按钮 ， 创 建新 的 过 滤器 。 新 建 的 过 滤器 将 显示 在 过 滤器 列表 的 最 后 一 行 ， 如 图 4.26 所 示 。 
如 果 不 想 单 击 New 按钮 创建 ， 也 可 以 直接 编辑 默认 的 过 滤器 。 

Wesharc DisplayFiter -ProfieDetok 
Ed 一 一 人 Display Fiter 
won 
[ew | Ethernet broadcast 


No ARP 
Jp ony 


TERTIAE 
Ede 一 Depby FRer 
lp address isnt 192.168.0.1, don't use 1= for thisl 
IPX only 
[ew | ro 
UDP ony 
Non-DNS 
TCP or UDP port is 80 (HTTP) 
HTTP 有 


No ARP and no DNS 


Non-HTTP and non-SMTP to/from 192.168.0.1 


Jp address isn't 192.168.0.1, don't use 1= for this! 
[Belete] IPX only 

Tcp only 
UDP only 


Properties 
Fiter name: Jp address 192.168.0.1 


Faersunoripaddr==19216801 [Eepression-)] 
Cox )]( aepy | [cone | 


Properties 
Fler name: My IP Address 


FRersmo: ipaddr==1921680108 [Expression)] 
Ete Cox sy ][ conce | 


图 4.25 显示 过 滤器 窗口 图 4.26 新 建 显示 过 滤器 


(4) 在 该 界面 将 过 滤器 名 修改 为 My IP Address， 使 用 的 卫 地址 为 192.168.0.108， 如 
图 4.26 所 示 。 然 后 单 击 OK 按钮 ， 保 存 新 建 的 显示 过 滤器 并 关闭 显示 过 滤器 窗口 。 单 击 
OK 按钮 后 ，Wireshark 自动 地 将 新 建 的 显示 过 滤器 添加 到 了 显示 过 滤器 区 域 。 如 果 不 想 使 
用 该 过 滤器 ， 可 单 击 Clear 按钮 ， 如 图 4.27 所 示 。 


http-hostpcapng [Wireshark 1107 (1107-0-g6bo31al fom master 110) oD” =|/ 
Ele Edt View Go Capture Anayze Statistics Telephony Iooks Intemas Hep 
SO@ 和 | 马 由 多 | 人 休 名 卫生 | 国 国 AaaQQ 本 国 揭 > 


当 查 看 HTTP 包 时 ， 使 用 正确 的 过 滤 流 量 器 是 非常 重要 的 。 例 如 发 现 自己 访问 网 站 很 
慢 时 ， 可 以 通过 过 滤 显 示 HITP 包 ， 来 判断 问题 的 原因 。 通 常 分 析 一 个 HITP 包 时 ， 需 要 
分 为 两 个 阶段 。 由 于 捕获 HTTP 时 会 有 两 个 过 程 ， 首 先 通过 TCP 三 次 握手 建立 连接 ， 然 后 
再 发 生 HITP GET 请 求 ， 才 可 连接 到 Web 服务 器 。 由 于 这 样 的 过 程 ， 此 时 也 需要 通过 两 
步 来 过 滤 显示 HTTP 数据 包 。 本 节 将 分 别 进行 介绍 。 

【实例 4-7】 演示 捕获 访问 www.baidu.com 网 站 的 数据 包 。 具 体操 作 步 又 如 下 所 示 。 
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(1) 启动 Wireshark 工具 ， 如 图 4.28 所 示 。 


(2) 在 该 


( {The Wireshark Network Analyzer [Wireshark 1.10.7 (v1107-0-g6b931a1 from m. (el) 
Ele Edt View Go Capture Anayze Statistics Telephony Ioos Intemas Hep 
日 @@ 帮 本 台 | 巴 外 X 人 包公 e 字 中 于 和 AQAAQAQ ， 
Fiker [= ] Expression.. Clear 


The World" s ee Popular Network Protocol 


ii 
WIRESHARK Version 1.10. 1.10.7-0-96b931al from master-1.1( 
| Capture | Fiec 用 


Interface List [二 Open 


© Live list of the capture nterfaces Open a previcusy captured fie 
(counts ncomng Packets) 是 
Open Recent: 
A a D:\traces\dns.pcapng (913 kB) 


Choom ome or mame beri to expthure from toen est Dacehttppapng(13216) 


TE TS UI K ROSEET WII 医 Dp: Neaceshetp sfoate, papng Ga ‘0) 


多 VMware Network Adapter VMnetl 写 
岂 | 本 地 连接 2 = 


四 » 


Ready to load or capture No packets Profie: Defauk 


图 4.28 ”Wireshark 主 界面 
交界 面 选择 捕获 接口 ， 然 后 单 击 Start 按钮 ， 将 开始 捕获 数据 ， 如 图 4.29 所 示 。 


http-tcp.pcapng [Wireshark 1.10.7 (v1.10.7-0-g6b931a1 from master-1.10)] 


Ble Edt Vew Go Capture Anayze Statstcs Telephony IToos Intemas Hep 
日 回 着 面 基 | 巴 马 其 多 | 信 9 训 呈 于 生 | 四 加 QQQDI 本 加 昌 ， 
[= | Expression.. Clear Apply Save 

mr ee 


TCP 


23 2.740425000 192.168.0.107 184.50. qsm | 
24 2.740506000 184.50.87.99 192.168.0.107 Tcp 66 http > 4272 [SYN, AC 
25 2.740534000 192.168.0.107 184.50.87.99 TCP 54 4272 > http [ACK] se 上 
26 2.779511000 184.50.87.99 192.168.0.107 TcPp 60 http > 4273 [ACK] Se 
28 3.126117000 Giga-Byt_0b:00:4f Broadcast ARP 60 who has 192.168.0.11 
29 3.333477000 ~ Giga-Byt_68:24:58 Broadcast ARP 60 who has 192.168.0.11 
30 3. 500606000 192.168.0.107 184.50.87.99 HTTP 684 GET /qsm1.aspx?query 
31 3. 539677000 184.50.87.99 192.168.0.107 TcPp 60 http > 4272 [ACK] Se 
33 3. 619705000 192.168.0.107 184. 50.87. 99 TCP 66 4274 > http [SYN] Se 
34 3.619739000 192.168.0.107 184.50.87.99 TCP 66 4275 > http [SYN] se 
35 3.636850000 184.50.87.99 192.168.0.107 HTTP/X» 1446 HTTP/1.1 200 OK 

36 3.636851000 184.50.87.99 192.168.0.107 HTTP 452 Continuation or non- - 


i | 


© | Fle: “D:\traces\http-tcp.pcapng" 0... | Packets: 122 * Dspbyed: 122 (100.0%) * Dro... | Profie: Defaukt 


(3) 此 
保存 该 文件 
(4) 打 


图 4.29 开始 捕获 数据 
上 时 通过 浏览 器 访问 www.baidu.com 网 站 。 访 问 成 功 后 停止 Wireshark 捕获 ， 并 
名 为 http-tcp.pcapng。 
开 捕 获 文 件 http-tcp.pcapng 后 ， 将 会 看 到 在 该 捕获 文件 中 有 很 多 数据 包 。 如 果 


要 查看 需要 
接 下 来 


的 HITP 数据 包 ， 就 必须 使 用 显示 过 滤器 。 
分 别 使 用 应 用 程序 过 滤器 和 端口 过 滤器 ， 查 看 捕获 HTTP 过 程 的 数据 包 。 


1. 使 用 应 用 程序 过 滤器 


当 用 户 


查看 HITP 包 时 , 通常 会 使 用 应 用 程序 过 滤器 http, 过 滤 后 结果 如 图 4.30 所 示 。 
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帮 http-tcp.pcapng [Wireshark 1107 (v1.107-0-g6b931a1 from master-110)] Lo 9 lm 
He Edt Vew Go Capture Anayze Statstics Telephony Ioos Intemas Hep 
©@#lf| 忆 多 人 9 人 中国 于 和 于 和 已 有 加 | 醒 国 > 


ml peor oo sopy sme 


0 0 684 GET /qsml. aspx: 

5 3. 636850000 184.50.87.99 192.168.0.107 。 HTp/xML 1446 HTTP/1.1 200 or 中 

36 3.636851000 。 184. 50. 87. 99 192.168.0.107 HTTP 452 Continuation or 避 

39 3.666393000 192.168.0.107 184.50.87.99 HTTP ‘685 GET /qsml.aspx’| | 
44 3.812639000 184.50.87.99 192.168.0.107 HTTP/YML 1494 HTTP/1.1 200 Ok 
45 3. 812640000 184.50.87.99 192.168.0.107 HTTP 410 Continuation or 
| 47 3.924173000 192.168.0.107 184.50.87.99 HTTP 687 GET /qsm1.aspx 
50 4.025128000 fe80::84e1:a4a0:94ff02::c SSDP 208 M-SEARCH * HTTF 
51 4.123369000 184.50.87.99 192.168.0.107 HTTP/XML 1494 HTTP/1.1 200 Ok 
53 4.123608000 184.50.87.99 192.168.0.107 HTTP 436 Continuation or 

59 4.284489000 192.168.0.107 123.125.115.164 HTTP 846 GET /a.js?did=] -| 
ete 个 an 本 mr 一- ee 


|@ W | Fie: “D:\traces\http-tcp.pcapng" 0... | Packets: 122 * Dsplayed: 40 (32.8%) * Dr... | Profie: Defauit 


图 4.30 匹配 http 过 滤器 的 数据 包 


从 该 界面 可 以 看 到 匹配 过 滤器 的 包 有 40 个。 这 些 包 的 Protocol 列 都 包含 了 HTTP 协议 ， 
而 无 法 看 到 TCP 三 次 握手 的 数据 包 。 


2. 使 用 端口 过 滤器 


如 果 要 想 查 看 TCP 相关 的 数据 包 ( 如 TCP 连接 、TCP 重 发 或 TCP 错误 包 ) ， 就 必须 
要 使 用 端口 过 滤器 来 实现 。 因 为 当 客户 端 与 Web 服务 器 通过 TCP 三 次 握手 建立 连接 时 ， 
使 用 的 是 TCP 协议 的 80 端口 。 所 以 , 通过 使 用 端口 过 滤器 就 可 以 过 滤 出 TCP 三 次 握手 的 
过 程 。 下 面 将 演示 使 用 端口 过 滤器 来 过 滤 。 

(1) 打开 http-tcp.pcapng 捕获 文件 。 

(2) 在 显示 过 滤器 区 域 中 输入 tcp.port==80， 将 显示 如 图 4.31 所 示 的 界面 。 
A http-tcp.pcapng [Wireshark 1107 (v1.10.7-0-g6b931a1 from master-1.10)] El 
Ele Edt View Go Capture Anayze Statistics Telephony Iools Internas Help 
国 轿 关 醒 近 | 马 四 其 饭 | 以 9 宁 中 下 荆 和 QQ 加 1 醒 固 昌 营 “ 


Filter: tcp,port==| [= | Expression.. Clear Apply Save 
No. Time Source Destination Protocol Length Info < 


66 4280 > 


123: 125. 114. WE 
EE 66 http > 


4. 58 135.169-125 TCP 278 
76 42310154000 -一 168- 0 107 er 135: -一 125 HTTP 一 GET A NT 


77 4.311635000 61.135.185.194 192.168.0. 79 [SYN, ACK] 
78 4.311654000 192.168.0.107 61.135.185 使 用 tcp .porl = 80 过 滤器 ”ltp [Ack] seq=1| 
79 4.313428000 123.125.114.101 192.168.0.| 一 80 [SYN, ACK] 
80 4.313448000 192.168.0.107 123.125.11| 显示 了 访问 过 的 Web 站 点 jtp [ackj seq=1 
S43214340009 6IiI35il69ul25l Il92l6siol 和 TCP 连 接 的 所 有 数据 。 ”lws [sexJ seq=l 
82 4.322988000 61.135.169.125 192.168.0. 200 ok 

83 4.323003000 192.168.0.107 61.135.169.125 TCP 54 4278 > http [ACK] Seq=4 
84 4.323191000 61.135.169.125 192.168.0.107 PE 1494 continuation or non-HTT - 

4 加 | 上 


© | Fie: "Di\traces\http-tcp.pcapng" 0... | Packets: 122 | pspbyed: 88 (72.196) |oropped: 
[ 


图 4.31 过 滤 的 数据 


(3) 在 该 界面 显示 了 一 个 完整 的 Web 会 话 。 从 该 界面 的 状态 栏 中 可 以 看 到 该 捕获 文件 
中 共有 122 个 包 ， ee el 过 滤器 的 包 有 88 个 。 在 该 界面 Packet List 面板 的 
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Protocol 列 中 ， 可 以 看 到 73、74、75 帧 的 协议 为 TCP。 这 3 帧 表示 是 TCP 三 次 握手 。 其 
中 ，73 帧 表示 客户 端 向 服务 器 发 送 SYN 包 ， 请 求 建立 连接 ; 74 帧 表示 服务 器 响应 客户 端 
的 请 求 ， 发 送 了 SYN ACK 包 ; 75 帧 表示 客户 端 发 送 了 ACK 包 ， 确 认 已 成 功 与 服务 器 建 
立 连接 。 

(4) 客户 端 通过 TCP 三 次 握手 与 服务 器 成 功 建立 连接 后 ， 就 可 以 向 服务 器 发 送 HTTP 
GET 请 求 了 。 在 图 4.31 中 ，76 帧 就 是 客户 端 发 送 的 GET 请 求 ， 请 求 访问 www.baidu.com 
网 站 。 


4.5 过 滤 显 示 DHCP 


过 滤器 显示 DHCP 数据 ， 同 样 需 要 使 用 应 用 过 滤器 实现 。 但 是 过 滤 DHCP 时 ， 使 用 的 
过 滤器 不 是 dhcp， 而 是 bootp。 这 是 因为 DHCP 的 前 身 是 BOOTP。 本 节 将 介绍 过 滤 显 示 
DHCP。 如 果 在 显示 过 滤器 中 输入 dhcp， 则 显示 过 滤器 的 背景 将 变 为 红色 。 这 表明 该 语法 
错误 ， 显 示 界 面 如 图 4.32 所 示 。 


人 {dhcp pcapne wireshart1107 (1107-0-96b33lal frommaster110] l=) 


Ele Edt Vew Go Capture Anayze Statistcs Telephony Iooks Intemas Hep 
O00 人 SO AP 中 DO QQQDOl 
mr De 
No， Time Source Destination Protocol Length Info 
0.0.0.0 255.255.255.255 DHCP 342 DHCP Request 
171 0.000892000 0.0.0.0 255.255.255.255 DHCP 342 DHCP Request 
173 0.005321000 192.168.4.1 192.168.4.100 DHCP 590 DHCP ACK 
397 0.087349000 192.168.4.100 255.255.255.255 DHCP 342 DHCP Inform 
398 0.006675000 192.168.4.1 192.168.4.100 DHCP 590 DHCP ACK 
[ 二 ] CE 
元 = i 
0000 上 tf fT C 04 g 08 4 5 
0010 | f ff 总 
0020 日 44 4 | 
0030 
0040 四 了 ) 局 
© Frame (frame), 342 bytes Packets: 443 * Displayed... | Profie: Default 


图 4.32 dhcp 语法 错误 


从 该 界面 可 以 看 到 Packet List 面板 中 ，Protocol 列 显示 的 是 DHCP。 但 是 输入 dhcp 过 
滤器 ， 将 不 能 运行 。 正 确 的 显示 过 滤器 语法 应 该 是 bootp， 如 图 4.33 所 示 。 


Ele Edt View Go Capture Anayze Statistics Telephony IToos jntemas Hep 


@ 帮 本 玫 | 马 多 其 久 | 人 A 中 中国 于 生 nen 


图 4.33 ”过滤 显示 DHCP 


从 该 界面 可 以 看 到 在 显示 过 滤器 区 域 输入 bootp 后 ， 过 滤器 的 背景 色 为 绿色 。 这 表示 
bootp 语法 正确 。 如 果 想 过 滤 DHCPv6 数据 ， 则 使 用 dhcpv6 过 滤器 (DHCPv6 不 是 基于 
BOOTP 的 ) 。 
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用 最 
选项 


4.6. 


地 址 


4.6 根据 地 址 过 滤 显 示 


根据 地 址 过 滤 显 示 ， 可 以 更 好 地 查看 某 台 主机 的 数据 。 因 此 ，JP 地 址 显示 过 滤器 是 使 
广泛 的 过 滤器 。 使 用 显示 过 滤器 查看 一 个 IP 地 址 、 地 址 范围 或 子 网 的 数据 时 ， 有 很 多 
可 以 使 用 。 本 节 将 详细 讲解 地 址 过 滤 显 示 。 


1 显示 单个 IP 地 址 或 主机 数据 


根据 使 用 的 协议 不 同 , 抓 取 的 数据 通常 有 IPv4 数据 和 IPv6 数据 。 IPv4 和 IPv6 表示 IP 

的 两 个 版 本 。 对 于 IPv4 数据 ， 可 以 使 用 的 字段 如 下 : 

口 ip.src 表示 捕获 源 IPv4 地 址 的 数据 。 

口 ip.dst 表示 捕获 目标 IPv4 地 址 的 数据 。 

口 ip.host 表示 到 达 / 来 自 解析 某 网 站 后 IPv4 地 址 的 数据 。 

口 ip.addr 表示 到 达 / 来 自 IPv4 地 址 的 数据 

对 于 IPv6 数据 ， 可 以 使 用 的 字段 如 下 : 

口 ipv6.src 表示 捕获 源 IPv6 地 址 的 数据 。 

口 ipv6.dst 表示 捕获 目标 IPv6 地 址 的 数据 。 

口 ipv6.host 表示 到 达 / 来 自 解析 某 网 站 后 IPv6 地 址 的 数据 。 

口 ipv6.addr 表示 到 达 / 来 自 IPv6 地 址 的 数据 。 

使 用 的 时 候 还 需要 遵循 一 定 的 语法 格式 ， 如 ip.sre 使 用 的 语法 形式 如 下 : 

ip.src 比较 运算 符 IP 地 址 

其 中 ， 比 较 运算 符 可 以 是 等 于 、 不 竺 于、 大于、 小于、 大 于 等 于 或 小 于 等 于 。 

其 他 字段 的 使 用 方式 类 似 。 例 如 以 下 示例 所 示 。 

口 ip.addr==10.3.1.1: 显示 了 P 源 或 目标 地 址 字段 为 10.3.1.1 的 所 有 数据 。 

口 lip.addr==10.3.1.1: 显示 下 源 或 目标 地 址 除 10.3.1.1 的 所 有 数据 。 

口 ipv6.addr==2406:da00:ff00::6b16:f02d: 显示 所 有 到 达 / 来 自 2406:da00:ff00::6b16: 
fo2d 的 所 有 数据 。 

口 ip.src 一 10.3.1.1: 显示 来 自 10.3.1.1 的 数据 。 

口 ip.dst==10.3.1.1: 显示 目标 为 10.3.1.1 的 数据 。 

口 ip.host==www.wireshark.org: 显示 到 达 或 来 自 解析 www.wireshark.org 网 站 后 的 人 P 
地 址 数据 。 

【实例 4-8】 捕获 源 IPv4 地 址 为 192.168.0.110 主机 的 所 有 数据 。 具 体操 作 步 又 如 下 


所 示 。 


(1) 启动 Wireshark 工具 ， 如 图 4.34 所 示 。 
(2) 在 该 界面 的 菜单 栏 中 依次 选择 Capture|Options 命令 , 打开 捕获 选项 窗口 , 如 图 4.35 


所 示 。 
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人 @ The Wireshark Network Analyzer [Wireshark 1107 (v1107-0-g6b9311 from mast.. hE 
Eile Edt Vew Go Capture Anayze Statstics Telephony Iook Intemas Hep 
回 @ 和 时 下 | 白 的 关 包 | 人 9 中国 守业 | 


Fer | 1 


[Capture Files | 


Interface List [i Open 
【3 Lve 有 of the capture nterfaces Open 3 previousy aptured fie 
(counts ncoming packets) 


ort 


D:\traces\http-tcp.pcapng (42 kB) 
Choose one cr more nterfaces to capture from, then Start 


D:\traces\dns.pcapng (913 kB) 


| 匡 VMware Network Adapter VMnet8 2| Di\taces\http.pcapng (132 kB) 
bs 辣 noreshrrn-dinare nrannn NKRY 7 


| Profie: Defauk 


帮 Wireshark: Capture Options [ETEIPX| 
Capture 
Capture Interface Link-layer header Prom. Mode Snaplen [B] Buffer [MiB] Capture Fiter ~ 
本 地 连接 
fe80-95c284b3:b1fe7828 Ethernet enabled default 2 
1921680110 


Use promiscuous mode on all interfaces 


capture Fiter] | -a Compile selected BPFs 
Capture Fles 


| Fie: Datracesvonly-ip.pcal Update list of packets in real t | 
eed ogre era "ee 和 Cr et 拓 ch i | 
| Cie [se [Leoe | 


1 
| Capture on all interfaces 
| 
| 


图 4.35 捕获 选项 窗口 


(3) 在 该 界面 选择 捕获 接口 ， 并 指定 捕获 文件 的 位 置 和 文件 名 。 然 后 通过 访问 某 个 网 
站 ， 产 生 一 些 数据 。 然 后 停止 Wireshark 捕获 ， 将 显示 如 图 4.36 所 示 的 界面 。 


通 only-ip pcapng [Wireshark 1107 (v1.10.7-0-g6b931al from ma 


Ele Edt View Go Capture Anayze Statstics Telephony Iook JIntemak Hetp 
同 回 而 三 大 | 巴 鳃 X 包 | 以 9 中 人 入 | 四 加 eaDl > 


oe oo am om 。 
INo. Time Protocol Length Info < 


4 2 5113700 702168.0-110 2 .68 0.1 DNS 76 standard query 0x4:|| 
70 standard query Oxl; 
6 “ i 


I@ | Fie: "D:\traces\onyp.... Packets: 2043 * Dspbyed: 675 (33.0%)... | Profie: Defautt 


图 4.36 捕获 的 数据 
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(4) 此 时 将 会 看 到 only-ip.pcapng 捕获 文件 中 ， 包 括 各 种 TCP/IP 协议 包 。 如 现在 过 滤 
192.168.0.110 主机 的 数据 , 输入 显示 过 滤器 ip.addr 一 192.168.0.110。 然后 单 击 Apply 按钮 ， 
将 显示 如 图 4.37 所 示 的 界面 。 


only-ippcapng [Wireshark 1.107 (v1.10.7-0-g6b931a1 from master-1.10)] le Xx 


He Edt View Go Capture Anayze Statistics Telephony TIook Jntemak Hep 
回回 而 要 过 | 巴 旬 X 色 | 以 er » 


etecol lena, ne 


5 :2 55323900 EE 168:0.1 192. Er 0 Er 133 rm query resl 
120 3.49733300 192.168.0.110 192.168.0.1 70 standard query Ox1; 
121 3.49966600192.168.0.1 192.168.0.110 168 standard query resl 
122 3.50011300192.168.0.110 221.204.21.48 66 49181 > http [SYN] 
123 3.50227400 221.204.21.48 192.168.0.110 60 http > 49181 [SYN， 
124 3. 50229400 192.168.0.110 221.204.21.48 54 49181 > http [ACK] 
125 3. 50241000192.168.0.110 221.204.21.48 519 GET /?ocid=iehp HT 
126 3. 50537800 221. 204. 21.48 192.168.0.110 60 http > 49181 [ACK] 
127 3.50725500 221.204.21.48 192.168.0.110 422 [TCP segment of a 
128 3.50779900 221.204.21.48 192.168.0.110 1494 [TCP segment of a 
129 3.50780000 221.204.21.48 192.168.0.110 1494 [TCP segment of al- 


nona nna na ae Fa NO ~ be Far 


| + 
@ Wi | Fle: "D:\traces\only-p.... | Packets: 2043 * Displayed: 1802 (88.2%... | Profie: Defauit 


图 4.37 过 滤 后 的 数据 包 


(5) 从 该 界面 的 状态 栏 中 ， 可 以 看 到 有 1802 个 数据 包 匹配 ip.src==192.168.0.110 过 
滤器 。 


4.6.2 显示 一 个 地 址 范围 的 数据 


如 果 想 显示 一 个 地 址 范围 的 数据 , 可 以 使 用 ip.addr 或 ipv6.addr 字段 结合 比较 运算 符 > 
或 < 和 逻辑 运算 符 &&(and) 组 合成 的 显示 过 滤器 。 下 面 列 出 儿 个 常用 显示 地 址 范围 数据 的 过 
口 ip.addr > 10.3.0.1 && ip.addr < 10.3.0.5: 显示 到 达 / 来 自 他 地 址 10.3.0.2、10.3.0.3 
或 10.3.0.4 主机 的 数据 。 
口 (ip.addr >= 10.3.0.1 && ip.addr <= 10.3.0.6) && !ip.addr==10.3.0.3: 显示 到 达 / 来 自 
卫 地址 为 10.3.0.1、10.3.0.2、10.3.0.4、10.3.05 或 10.3.0.6 的 数据 。 在 这 个 范围 内 ， 
除了 下 地 址 为 10.3.0.3 的 数据 。 
口 ipv6.addr >= fe80:: && ipv6.addr < fec0::: 显示 到 达 / 来 自 IPv6 地 址 以 0xfe80 开始 ， 
直到 0xfec0 的 数据 。 
【实例 4-9】 下 面 演示 显示 一 个 地 址 范围 的 数据 ， 如 下 所 示 。 
(1) 打开 only-ip.pcapng 捕获 文件 ， 显 示 过 滤 大 于 192.168.0.1 并 且 小 于 192.168.0.110 
的 数据 。 
(2) 在 显示 过 滤器 中 输入 过 滤器 ip.addr > 192.168.0.1 && ip.addr < 192.168.0.110， 然 
单 击 Apply 按钮 ， 将 显示 如 图 4.38 所 示 的 界面 。 
(3) 从 该 界面 的 状态 栏 中 ， 可 以 看 到 匹配 以 上 过 滤器 的 数据 包 有 866 个 。 
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onyippcapng Wireshark1107 wl107-0-g6b93lalfommasterllil 【lee 


20.001298000 111.161.88.108 192.158.0.107 UDP 97 Source port: irt Destin 
3 0.002007000 192.168.0.107 111.151.88.108 oICQ 89 OICQ Proroco] 
4 0.055393000 111.161.88.108 192.1658.0.107 oIcQ 689 OICQ Protocol 
5 0.062960000 192.168.0.107 111.161.88.108 oIcQ 89 OICQ Protoco]l 
6 0.063073000 192.168.0.107 111.161.88.108 。 UDP 89 source port: 58192 Destin 
8 0.122223000 111.161.88.108 192.158.0.107 orcQ 689 OICQ protocol 
9 0.123428000 192.168.0.107 111.161.88.108 oICQ 81 OICQ Protocol 
10 0.123566000 192.168.0.107 111.151.88.108 。 OICQ 89 OICQ Protocol 
11 0.128168000 111.161.88.108 192.158.0.107 Upp 97 source port: irdmt vestin 
12 0.139339000 111.161.88.108 192.158.0.107 orcQ 257 OICQ Protocol 
13 0.145048000 ~ 192.168.0.107 111.161.88.108 oIcQ 97 OICQ Protocol 图 


» 


1 
© WH | Fe: "ClUsers\yw\Desktop\ony p.— | Packets: 2043 * Displayed: 866 (42.4%) “10a-，| Profie: Defadk 


图 4.38 显示 地 址 范围 的 数据 


4.6.3 显示 一 个 子 网 IP 的 数据 


捕获 一 个 子 网 了 P 的 数据 ， 用 户 可 以 以 CIDR (无 类 型 域 间 选 路 ) 格式 使 用 ip.addr 字段 
名 定义 一 个 子 网 过 滤器 .CIDR 格式 是 通过 使 用 下 地址, 并 在 他 地 址 后 跟 一 个 斜 杜 和 数字 。 
该 斜 杠 和 数字 分 别 定义 他 地 址 的 网 络 部 分 和 掩 码 位 数 。 
下 面 介绍 几 个 CIDR 格式 的 例子 ， 如 下 所 示 。 
口 ip.addr==10.3.0.0/16: 显示 IP 地 址 从 10.3 开始 的 源 人 P 地 址 字段 和 目标 卫 地 址 字 
段 的 所 有 数据 。 
口 ip.addr==10.3.0.0/16 && !ip.addr==10.3.1.1: 显示 了 P 地址 从 10.3 开始 的 源 了 P 地 址 
字段 和 目标 人 P 地 址 字段 的 数据 ， 除 了 10.3.1.1 地 址 。 
口 !ip.addr==10.3.0.0/16 && !ip.addr 一 10.2.0.0/16: 显示 除了 以 10.3 或 10.2 开头 的 源 
IP 地 址 字段 和 目标 人 P 地 址 字段 的 数据 。 
【实例 4-10】 过 滤 到 达 / 来 自 192.168.0.0/24 网 络 的 所 有 数据 。 具 体操 作 步 又 如 下 所 示 。 
(1) 打开 only-ip.pcapng 捕获 文件 ， 过 滤 192.168.0.0/24 网 络 内 的 所 有 数据 。 
(2) 在 显示 过 滤器 中 输入 ip.addr==192.168.0.0/24， 然 后 单 击 Apply 按钮 ， 将 显示 如 图 
4.39 所 示 的 界面 。 
only-ip.pcapng [Wireshark 1.107 (v1.10.7-0-g6b931a1 from master-110)] EE 


[Ee Edt Vew Go Capture Anayze Statstics Telephony Toos Intemas Hep 
lae@snmdeaxsaes*omT | 国 aaanlB» 


per ipods000t [epee cow sop sn 


No Time Source Destination Protocol Length Info < 


1 0.00000000 111.161. 88.108 192.168.0.107 oIcQ 689 OICQ Protocol I 
2 0.00129800 111.161. 88.108 192.168.0.107 ”UDP 97 Source port: irdmi Dest 

3 0.00200700 192.168.0.107 111.161.88.108 oIcQ 89 oICQ Protocol 

4 0.05539300 111.161. 88.108 192.168.0.107 oIcQ 689 OICQ Prorocol 

5 0.06296000 192.168.0.107 111.161.88.108 OICQ 89 oICQ Protocol 

6 0.06307300 192.168.0.107 111.161.88.108 Upp 89 Source port: 58192 Dest 
8 0.12222300 111.161. 88.108 192.168.0.107 oIcQ 689 OICQ Prorocol 

9 0.12342800 192.168.0.107 111.161.88.108 OICQ 81 OICQ Protocol 


10 0.12356600 192.168.0.107 111.161.88.108 89 oICQ Protocol 


97 source port: irdmi Dest 
257 OICQ Protocol 
97 OICQ Protocol 


图 4.39 过滤 192.168.0.0/24 网 络 的 数据 
(3) 从 该 界面 的 状态 栏 中 可 以 看 到 , 匹配 ip.addr 一 192.168.0.0/24 过 滤器 的 数据 包 共有 
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2022 个 。 如 果 想 过 滤 192.168.0.0/24 网 络 外 的 数据 ， 可 使 用 同样 的 过 滤器 。 但 是 需要 在 前 
面 加 一 个 ! 号 ， 格 式 为 !ip.addr 一 192.168.0.0/24。 使 用 该 过 滤器 过 滤 后 的 数据 ， 显 示 结果 如 


图 4.40 所 示 。 


only-ip.pcapng [Wireshark 1.10.7 (v1.10.7-0-g6b931a1 from master-1.10)] 
He Edt View Go Capture Anahze Statistics Telephony Toos Intemas He 
©e@sumalSeaxSlA**oOTFT 国 aaanlmm >» 


ren ewer, co wy so 


Protocol Length Info 


7 011572000 fes0: :1914:a440ff02: :1: FFbc:1cL MPVS "86 Neighbor solicitation 元 各 
22 1.18735200 fe80::84el:a4a0ff02::C 55DP 208 M-SEARCH ” HTTP/1.1 

23 1.43557100 fe80: :1914:a440ff02: :1:ffbc:1c1 ms 86 Neighbor solicitation fc 
50 1. 95862400 fe50: :81b4:e92f Ff02: :c 208 M-SEARCH w HTTP/1.1 
64 2.11255700 Fes0: :1914:a440ff02: :ffbc:lcl ICNPv6 。 “86 Neighbor solicitation fc 
92 2.95068400 Vmware_72:ff:21Broadcast ARP 42 Who has 192.168.0.1? Te 
93 2.95112600 Tp-LinkT_f9:3c: vmware_72:ff:21 ARP 50 192.168.0.1 is at 6c:e8: 


101 3.13004000 fe80: :1914;a440ff02: :1:ffbc:1c1 ICMPv6 86 Neighbor solicitation fc 


425 4.44093500 Giga-Byt_0b:00: Broadcast ARP 50 who has 192.168.0.111? 
| 485 4.95881700 fes0: :| SSDP 208 M-SEARCH * HTTP/1. 
551 5.12400100 ciga- AP 50 who has 192.168. 轩 
) 


(®@ WT [Fie: DiVtacestonyp… | Packets: 2043 * Displayed: 21 (1.096) “Droppe-，| Profle; Defautt 


图 4.40 显示 除 192.168.0.0/24 网 络 外 的 数据 


4.7 过滤 显 示 单 一 的 TCP/UDP 会 话 


当 用 户 想 要 分 析 一 个 客户 端 应 用 程序 和 一 个 服务 器 进程 的 会 话 时 ， 可 以 通过 过 滤 单 一 
的 TCP/UDP 会 话 实现 。 该 会 话 基 于 卫 地 址 、 客 户 端 应 用 程序 的 端口 号 和 服务 器 进程 。 通 
常 捕获 文件 包含 成 千 上 万 条 会 话 ， 如 果 想 快速 地 定位 和 过 滤 想 要 查看 的 会 话 ， 需 要 快速 地 
分 析 过 程 。 本 节 将 介绍 过 滤 显 示 单 一 的 TCP/UDP 会 话 。 
过 滤 显 示 单 一 的 TCP/UDP 会 话 ， 有 4 种 方法 。 下 面 分 别 做 详细 介绍 。 


1. 选择 Conversation Filter|TCP 命 令 


当 用 户 想 要 从 捕获 包 中 快速 过 滤 一 个 TCP 会 话 时 , 在 Packet List 面板 中 右键 单 击 任何 
一 个 包 ， 并 依次 选择 Conversation Filter|TCP 命令 ， 如 图 4.41 所 示 的 界面 。 


http pcapng [Wireshark 1107 (v1107-0-g6b931al from master110 [= 

Ele Edt Vew Go Capture Anayze Statstics Telephony IToos Intemas Hep 

oe@andpBeaxSasroT 国 aaan Bm ， 

Filter: | Expression.. cear » 
Source 


7 0.0000 Jonore Packet (toggle) 
8 0.0000 © Set Tme Reference (toggle) 
9 0.0000 © Time shft... 


Manualy Resove Address 


Appy as Fer 
Prepare a Far _268 bytes captured (2144 bits) on intert. 
Conversation Fiter 89) ,Dst: Tp-Linkr f9:3c:c0 a 
Dok Cor .168.0.104), Dst: 61.182.14( 汪 
scm 3) ，Dsr Port: http (80), Set 


Folow TCp Soeam 
Folow UDP Suream 
Folow SSL Stream 
Copy 

Preferences 


Packats: 401 " Diplyed: 30 人 oie Defauk 


图 4.41 过 滤 单 一 的 TCP 会 话 


"0s 
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从 该 界面 可 以 看 出 选择 了 http.pcapng 捕获 文件 中 的 第 5 个 数据 包 , 右键 单 击 该 数据 包 
并 选择 Conversation Filter|TCP 命令 。 这 时 Wireshark 将 创建 并 应 用 下 面 显示 过 滤器 的 数据 : 


(ip.addr eq 192.168.0.104 and ip.addr eq 61.182.140.146) and (tcp.port eq 
51833 and tcp.port eq 80) 


用 户 可 以 使 用 相同 的 方法 ， 过 滤 基 于 瑟 地址、 以 太 网 地 址 或 UDP 地 址 /端口 号 结合 的 


一 个 会 话 。 


2. 选择 Follow [TCPIUDP] Stream 命 令 


如 果 在 一 个 会 话 中 ， 想 要 查看 应 用 程序 命令 和 数据 交换 及 应 用 会 话 过 滤器 。 可 以 通过 
右键 单 击 Packet List 面板 中 任何 一 个 包 , 并 选择 Follow [UDPITCP]Stream 命令 就 可 以 实现 。 
如 果 选 择 Follow UDP Stream， 显示 过 滤器 将 过 滤 人 P 地 址 和 端口 号 。 如 果 选 择 Follow TCP 
Stream， 显 示 过 滤器 将 过 滤 TCP 流 数据 。 

在 http.pcapng 捕获 文件 中 ， 选 择 Follow TCP Stream 选项 ， 将 显示 如 图 4.42 所 示 的 
界面 。 


( @ htppcapng [Wireshark 1107 (v1.107-0-g6b931a1 from master-1.10)] [Ea x | 


Ele Edt View Go Capture Anayze Statstics Telephony Iook Intemas Hep 
aad| 记 XDA9 人 OFT | 国 国 QQQD 文田 网 > 
Fikter: |Expression.. Clear Apply » 
No. Time Source Destination Protocol Length Info < 
| Packet (toggle) TE ms - 
70.¢ lore Packet (toggle) FRO0.104 TcPp RD reasst 
- 0.( © SeVTme Reference (toggle) .168. HTTP 326 HTTP/1.1 200 OK (appli¢ 
9 0.( © Tr shft. 182.140. TP 60 51833 > htrp Seq=: 三 
一 一 182.140.146 60 51833 > http [FIN，ACK] 
11 0. .168.0.104 TCPN 60 http > 51833 [FIN, ACK] 
12 0.( ManuNy Resove Address 02 Fobow Tep seem El ; ” 
| Appl ¥ Fiter » Suream Contert 
田 Framel prepara Fiter » ts), ,| eer Jpe/aqcTiene/srtile/index, json Wii/L.I 
@ Ether| Flter » Bb Cle:! FS8Gifieg-since: wed, 11 Jun 2014 00:43:29 er | 医 
Inter 92:16 | UsersAgent: Mesilla)4.6 Ccomparible; MSIE 6.0; OB 
田 Trans| Cobrze ntion * |port:| “oreo ee Handae. con 
唱 Pragmas no-G 
+ Folow TCP Stream HTTP/1.1 200 oK | 
Acc W tre, RN ep al | = 
| 900 01:12:20 anr | 
| Folow SSL Stream 也 Cache Contrdt: 1 agen600 
Expires: Wed, 11 Jun 2014 01: 
ee 3 | eed es: Hh "06 un 2623.89,28731 or 
> 入 i yD | Entire conversation (796 bytea | 
8 rotocol Preferences 
ph es [Ea [Gave ss [Brint] © Asan © Eacoic © Hex Dump © Carrays ® Rew 
| BB print... 
-一 
|I@WHIFa showpacketn New Wndow 二 一 
-一 


图 4.42 TCP Stream 


从 该 界面 可 以 看 到 单 击 Follow TCP Stream 后 ，Wireshark 会 自动 创建 一 个 基于 该 包 的 
过 滤器 ， 本 例 中 是 tcp.stream eq 0。 同 时 还 显示 了 一 个 单独 的 窗口 ， 该 窗口 中 显示 了 该 包 的 
详细 信息 。 


3. 选择 Statistics|Conversations 命 令 


打开 一 个 捕获 文件 ， 可 以 通过 在 工具 栏 中 依次 选择 Statistics|Conversations 命令 查看 、 


Ms 
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排序 并 快速 地 过 滤 数 据 。 选 择 Statistics|Conversations 命令 后 , 将 显示 如 图 4.43 所 示 的 界面 。 


Ethemet Conversations 
4 Packets 4 Bytes 4 Packets A—B 4 Bytes A—B 4 Packets A—B 4 Bytes A ~ 

240 4 240 

66055 47 

1806 

12 360 
240 

12 565 

6252 

1440 


Jpv6mcast ffbc:1c:16 
Giga-Byt_c8:4c:89 
Giga-Byt_9d:e7:48 
Giga-Byt_c8:4c:89 


Giga-Byt_c8:4c:89 
Giga-Byt_68:24:58 
Giga-Byt_eb:57:cf 
Giga-Byt_19:5e:66 
Tp-LinkT_acfb:21 
Giga-Byt_00:7a:c8 
Giga-Byt_c8:4c:89 
4 可 


加 Name resolution 问 Limitto display fiter 


Follow Stream | | Graph A—B 


= SE | 


| 
J| 
图 4.43 ”Conversations 窗口 


该 界面 显示 了 http.pcapng 捕获 文件 中 所 有 数据 包 的 信息 。 在 该 界面 可 以 右键 单 击 一 个 
会 话 行 ， 将 出 现 Apply as filter、Prepare a Filter、Find Packet 和 Colorize Conversation 菜单 
项 。 选 择 任何 一 个 菜单 项 ， 相 应 的 还 有 子 菜单 。 根 据 可 用 的 菜单 项 ， 过 滤 需 要 的 数据 包 。 

【实例 4-11】 过 滤 TCP 会 话 。 有 具体 操作 步骤 如 下 所 示 。 

(1) 启动 Conversations 窗口 ， 在 该 界面 选择 TCP6 标签 栏 ， 将 显示 如 图 4.44 所 示 的 
界面 。 


Token Rng [uDp: i 


Ethemet: 20| Fbre Channe | FDD| mpv4; 17 | pv6: 7[ px [3xTA[ cp[ rsvpl scTp| 
TCP Conversations 
Address A 4 PortA 4 AddressB « PortB 4 Packets 4 Bytes 4 packets A-B 4 Bytes A-B 4 PacketsAB 4 BytesA~B +R 


192.168.0.104 51833 
192.168.0.104 51836 
192.168.0.104 51733 
192.168.0.104 51837 
192.168.0.104 51842 
192.168.0.104 51843 


61.182.140.146 http 
65.55.69.140 http 
192.168.03 
65.55.227.140 ”http 
112.65.208.58 http 
124.40.41.6 


49155 


11 1444 
6 953 
2 126 

59 55 548 

16 3731 


6 574 
365 


[saphA-a ] [ Grapheh | [ Gose ] 


。104 。 


图 4.44 TCP6 标签 栏 


(2) 在 该 界面 单 击 Packets 列 ， 将 会 进行 排序 。 排 序 后 ， 界 面 如 图 4.45 所 示 。 
(3) 从 该 界面 可 以 看 到 Packets 列 由 低 到 高 进行 了 排序 。 然 后 选择 第 一 行 ， 单 击 右键 
将 看 到 弹出 的 菜单 栏 ， 如 图 4.46 所 示 。 
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Ethemet: 20 | Fbre Channe | FDD! | pv4: 17 | Pv6: 7 | Px | JXTA | NOP | RSyP | scTP， 


Address A 4 PortAs 
192.168.0.104 51733 
192.168.0.104 51836 
192.168.0.104 51843 
192.168.0.104 51833 
192.168.0.104 51842 


:6 [Token Rng| op: 32| Usa | wWLAN 
TOP Conversations 


AddressB « PortB 4 Packets 4 Bytes 4 Packets A—B ~ Bytes A—B 4 packets ArB 4 BytesA~B4R 
19216803 49155 2 16 1 1 

65.55.69.140 http 6 953 
12440416 -http 7 1956 
61.182.140.146 http 11 1444 
112.65.208.58 http 16 3731 


4 
4 
6 
8 

20 


2 

3 

5 

8 

192.168.0.104 51837 65.55.227.140 http 59 55 548 39 
‘ m 


Name resolution © Limit to display fiter 
Help Sepy 


Graph A—B 


TOP Conversations 
4 port B 4 Packets 4 Bytes 4 Packets A 一 8 ^ Bytes A 一 8 4 Packets A 一 8 4 


Appy a5 FRer 
Prepare a Fier 


Address A 4 PortA 4 AddressB 


192.168.0.104 51836 
192.168.0.104 51843 
192.168.0.104 51833 
192.168.0.104 51842 
192.168.0.104 51837 


65.55.69.140 。 http | 
1244041.6 


112.65.208.58 http 
65.55.227.140 http 


Sopy [Follow Stream 


图 4.46 ”标准 选项 
(4) 在 该 界面 选择 Apply as Filter|Selected|A-B， 将 显示 如 图 4.47 所 示 的 界面 。 


Ele Edt Vew Go Capture Anayze Statstcs Telephony Ioos Intemas Hep 
全 四] 


QQQDI 名 


Ethernet II，Src: Giga-Byt_c8:4c:89 (1c:6f:6: :4C:89), Dst: Giga-Byt_eb: 
nternet Protocol Version 4, Src: 192.168.0.104 (192.168.0.104), Dst: 192. 
田 Transmission Control Protocol, Src Port: 51733 (51733), Dst Port: 49155 (49155) 


65 c8 4c 89 08 00 45 00 
5d 55 c0 a8 00 68 c0 a8 
Oc c7 13 f7 1a 3c 50 10 
00 00 00 00 

401 


1 


图 4.47 过 滤 的 TCP 会 话 
(5) 从 该 界面 可 以 看 到 显示 了 两 条 TCP 会话， 并且 应 用 了 以 下 过 滤器 : 


ip.addr—192.168.0.104 && tcp.port—51733 && ip.addr—192.168.0.3 && tcp.port— 
49155 


4. 基于 Stream index number 
在 TCP 头 部 , 可 以 通过 右键 单 击 stream index 字段 并 选择 Apply as Filter 命令 , 创建 一 


“5s 
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个 TCP 会 话 过 滤器 。 

【实例 4-12】 创建 一 个 TCP 会 话 过 滤器 。 具 体操 作 步 又 如 下 所 示 。 

(1) 打开 一 个 捕获 文件 ， 文 件 名 为 http.pcapng。 

(2) 在 该 界面 的 Packet Details 面板 中 展开 TCP 头 部 信息 ,右键 单 击 stream index 字段 
并 选择 Apply as Filter|Selected 命令 ， 将 显示 如 图 4.48 所 示 的 界面 。 

(A hetppcapng (Wireshark 1107 (W1107.0-96093121 From moner 2200 [= ,© 

Ee Et Vew Go Capture Anayie Statetcs Telephony Jook Intemak Heb 
外 加 着 国 所 | 世 牟 其 人 | 尽 澡 宁国 守业 QQQDIB 
oe ee 


INo. Time Source Destination Protocol Length Info 
95 9.29537100 192.168.0.104 192.168.0.3 Tp 60 51733 > 49155 
96 9.29552500192.168.0.3 192.168.0.104 Tp 66 49155 > 51733|| 
| 
下 6 


3 Transmission Control protocol, Src Port: 51733 (51733), Dst Port: 49155 (49155 
Source port: 51733 (51733) 司 
，49155 (49155) | 


ue er relative sequence 
[Next seoMence number: 2 (relative seouence number)] 


|6666 50 e5 49 如 8 ic 6f 65 人 0 0045 00 PEW SpE: 
ae 00 29 5b 00 40 06 5d 55 c0 a8 00 68 

0020 00 03 cal 3 员 0c 如 姑 名 1a 3c 多 Ee 
|0030 40 29 0a 00 00 00 @)... 


| Packets: 401 * Displayed: 2 (0.5... | profie: Defauk 
量 - 


图 4.48 ”TCP 流 字段 


(3) 从 该 界面 可 以 看 到 创建 了 一 个 tcp.stream==2 的 会 话 过 滤器 ， 并 且 stream index 的 
字段 名 为 tcp.stream。 


4.8 使 用 复杂 表达 式 过 滤 


使 用 显示 过 滤器 时 ， 可 以 使 用 逻辑 运算 符 、 表 达 式 、 括 号 和 通配符 实现 数据 过 滤 。 本 
节 将 介绍 在 显示 过 滤器 中 使 用 复杂 表达 式 的 过 滤 方 法 。 


4.8.1 ”使 用 逻辑 运算 符 


Wireshark 可 以 使 用 4 种 逻辑 运算 符 。 下 面 列 出 了 在 Wireshark 中 使 用 逻辑 运算 符 的 几 
个 例子 ， 如 下 所 示 。 

口 && 或 and: ip.src==10.2.2.2 && tcp.port==80, 表示 显示 源 地 址 10.2.2.2 主机 , 并 且 
端口 号 为 80 的 所 有 IPv4 流量 。 

口 | 或 or: tcp.port==80|ltcp.port==43， 表 示 显 示 到 达 / 来 自 80 或 443 端口 的 所 有 TCP 
数据 。 

口 ! 或 not: larpp， 表 示 查 看 除 ARP 外 的 所 有 数据 。 

口 != 或 ne: tcp.flags.syn != 1， 表 示 查 看 TCP SYN 标志 位 不 是 1 的 TCP 数据 帧 。 

使 用 != 逻 辑 运算 符 时 ， 有 两 种 情况 可 能 导致 Wireshark 无 法 运行 。 下 面 分 别 介绍 一 下 。 

1. 使 用 ip.addr != 无 法 运行 


当 使 用 != 逻 辑 运算 符 指定 地 址 时 ， 通 常 发 现 Wireshark 不 能 运行 。 例 如 过 滤 地 址 时 ， 
106 
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使 用 ip.addr != 10.2.2.2 过 滤器 的 语法 是 错误 的 。 正 确 的 语法 应 该 是 !ip.addr 一 10.2.2.2。 下 
面 分 别 介 绍 这 两 个 语法 的 区 别 。 
i222 


以 上 过 滤器 表示 显示 人 P 源 或 目标 地 址 字段 非 10.2.2.2 的 数据 包 。 如果 一 个 包 的 源 或 目 
标 人 P 地 址 字段 中 不 包含 10.2.2.2， 则 显示 该 数据 包 。 在 该 语法 中 使 用 了 一 个 隐 仿 或， 并 且 
不 会 过 滤 掉 任何 数据 包 。 


!ip.addr == 10.2.2.2 


以 上 过 滤器 表示 显示 在 IP 源 和 目标 地 址 字段 不 包含 10.2.2.2 的 数据 包 。 当 排除 到 达 / 
来 自 一 个 特定 也 地 址 的 数据 时 ， 这 是 一 个 合适 的 过 滤器 语法 。 


2. 使 用 !tcp.flags.syn==1 无 法 运行 


在 以 上 语法 中 ， 将 ! 和 = 分 开 是 错误 的 。 如 果 这 样 查看 所 有 TCP 包 的 SYN 位 不 等 于 1 
时 , 该 过 滤器 将 无 法 运行 。 正 确 的 语法 应 该 是 tcp.flags.syn != 1。 下 面 将 介绍 !tcp.flags.syn==1 
和 tcp.flags.syn != 1 语法 之 间 的 区 别 。 

!tcp.flags.syn==1 


以 上 过 滤器 表示 显示 TCP SYN 标志 位 不 等 于 1 的 所 有 TCP 包 和 其 他 协议 包 , 如 UDP、 
ARP 数据 包 将 匹配 该 过 滤器 。 因 为, UDP 和 ARP 协议 中 没有 TCP SYN 标志 位 为 1 的 数据 包 。 
tcp.flags.syn != 1 


以 上 过 滤器 仅 显 示 包 括 SYN 设置 为 0 的 TCP 包 。 

【实例 4-13】 下 面 演示 显示 源 地址 为 192.168.0.110， 并 且 是 80 端口 的 数据 。 具 体操 
作 步 又 如 下 所 示 。 

(1) 启动 Wireshark 工具 。 

(2) 在 菜单 栏 中 依次 选择 CapturelOptions 命令 ， 打 开 捕 获 选 项 对 话 框 。 在 该 界面 选择 
捕获 接口 ， 并 设置 捕获 文件 的 位 置 和 文件 名 ， 如 图 4.49 所 示 。 


属 wireshadc Capture Options ey 
Capture 
Capure Interface Uink-layer header Prom. Mode Snaplen [8] Buffer [MiB] Capture Fiter ~ 
VMware Network Adapter V... 
fe80-7041314b933170%b Ethernet enabled defauk 2 
1921681311 
本 地 连接 
fes0-116521c83b57s9 Ethermet enabled defaukt 2 
0000 
a ” BE 
同 Capture on all interfaces 
园 Use promiscuous mode on all interfaces 
[=] [Cempile selected BpFs 
Capture Fles Dispay Options 
Fle: |DAtraces\ip-port.pcapng| 园 Update list of packets in real time 
~ 
[see | 


图 4.49 捕获 选项 对 话 杠 
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(3) 以 上 信息 设置 完 后 ， 单 击 Start 按钮 ， 将 开始 捕获 数据 。 
(4) 此 时 通过 访问 网 站 www.wireshark.org， 产 生 一 些 数据 。 然 后 返回 到 Wireshark 界 
面 ， 停 止 Wireshark 捕获 ， 将 显示 如 图 4.50 所 示 的 界面 。 
[ip-portpcapng Wireshark 1107 W1107-0-g6b93lalfiommasterli0 lie 
Ee 
Od| 蝗 人 区 多 | 人 A 外 是 卫生 | 瑟 国 AaQQHI 田 » 
Fiker: ee Clear Apply Save 


记 61 189.215 TCP | 
0 419402000 fe80: :191 40t 7eff02:: 1:ffbc:1c16 ICMPv6 86 PT ET 
0.977607000 192.168.0.107 111.1 52.187 OICQ 81 OICQ Protocol 
1.002546000 111.161.52.187 192.168.0.107 OICQ 89 OICQ Prorocol 
1. 


.330391000 fe80::b04f:c10d:2cff02::1:ff11:f390 ICMPV6 86 Neighbor Solicitati 
1.330494000 fe80::81b4:e92f:daff02::1:ffc4:6d39 ICMPV6 86 Neighbor Solicitati 


8 1.436112000 Giga-Byt_17:cf:21 Broadcast 60 who has 192.168.0.1 

91.733569000 Giga-Byt_0b:00:4f Broadcast 60 who has 192.168.0.1 
10 1.994053000 Giga-Byt_68:24:58 Broadcast 60 who has 192.168.0.1 
11 2.379279000 192.168.0.102 255.255.255.255 508 Source port: 53264 
12 2.420612000 60 who has 192.168.0.1 - 


< ~ bh NV co ns 


图 4.50 捕获 的 数据 


(5) 在 显示 过 滤器 区 域 输入 ip.src 一 192.168.0.110 && tcp.port=-80 过 滤器 ， 然 后 单 击 
Apply 按钮 ， 将 显示 如 图 4.51 所 示 的 界面 。 
古 ip-portpcapng [Wireshark 1.10.7 (v1.10.7-0-g6b931al from master-1.10)] 


[Ee Edt Vew Go Capture Anayze Statstcs Telephony Too5 Intemas Hep 
OA| 马 外 其 多 | 人 “个 写 守业 | 国 国 QQQD >» 


1 .110 123.125.115.164 TCPp 
.0.110 123.125.115.164 TCP 
.110 123.125.115.164 TCP 
10 123.125.115.164 TCP 
123.125.115.164 TCp 
123.125.115.164  TCP 


图 4.51 显示 过 滤 捕 获 文 件 


(6) 从 该 界面 可 以 看 到 ， 匹 配 以 上 过 滤器 的 数据 包 有 58 个 。 
4.8.2 使 用 括号 


在 显示 过 滤器 中 ， 可 以 使 用 括号 创建 不 同 的 过 滤器 。 在 一 个 过 滤器 中 ， 括 号 的 位 置 不 
同 ， 过 滤 的 结果 也 不 同 。 下 面 列 出 两 个 使 用 括号 的 例子 : 

口 (tcp.port==80 && ip.src—10.2.2.2) || tcp.flags.syn——1。 

口 Tcp.port—=80 && (ip.src—10.2.2.2 || tcp.flags.syn—1)。 
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以 上 两 个 过 滤器 中 括号 的 位 置 改变 了 这 两 个 过 滤器 的 含义 。 
在 第 一 个 例子 中 ， 表 示 将 显示 来 自 10.2.2.2 主机 上 80 端口 的 数据 。 此 外 ， 所 有 TCP 
握手 的 第 一 个 包 也 将 被 显示 。 
在 第 二 个 例子 中 ,表示 显示 80 端口 的 所 有 数据 。 此 外 ， 所 有 来 自 10.2.2.2 主机 上 TCP 
握手 的 第 一 个 包 也 将 被 显示 。 
【实例 4-14】 显示 一 个 TCP 连接 过 程 。 具 体操 作 步 骤 如 下 所 示 。 
(1) 打开 tcp-connection.pcapng 捕获 文件 ， 如 图 4.52 所 示 。 
tcp-connection pcapng [Wireshark 1107 (v1107-0-g6b931alfrom master-110] 2 ens) 
Ele Edt Vew Go Capture Anayze Statstics Tekephony Toos Intemas Heb 
oOo@and 人 EO AY 人 OT QQQ 昌 | 本 国 罗 。» 
Fiker: [= | epresson- Clear Apply Save 


8 0.00436000 221. 204.160.40 192.168.0.109 TCP 
9 0.00441000 192.168.0.109 221.204.160.40 TCP 
10 0.00478700 221.204.160.40 192.168.0.109 TCPp 
11 0.00483000 192.168.0.109 221.204.160.40 TCP 


12 0. 01180100 61.135.169.105 192.168.0.109 TCP [syN Seq=0 Ar 
13 0.01186500 192.168.0.109 61.135.169.105 TCP 54 14212 > http Lack] Seq=l Ack=1 | 


Da ] » 


|®@ | Fle: "D:\vaces\tcp-connect... | Packets: 56 * Dsplayed: 56 (100.0%) * Dro... | Profie: Defauk 


图 4.52 ”tcp-connection.pcapng 捕获 文件 


(2) 如 果 想 要 查看 TCP 连接 ， 需 要 首先 找到 TCP 标志 位 区 域 。 如 图 4.52 所 示 ， 在 捕 
获 文件 中 第 7 帧 是 TCP 连接 请 求 , 在 Info 列 显示 的 标志 位 是 [SYN]。 在 Info 列 中 标志 位 为 
[SYN，ACK]， 表 示 响 应 请 求 。 

(3) 在 Packet Details 面板 中 ， 展 开 第 7 帧 的 TCP 头 部 ， 并 右键 单 击 Flags 行 。 选 择 
Prepare a Filter|Selected 命令 ， 如 图 4.53 所 示 。 


tcp-connection pcapng [Wireshark 1107 (v1107-0-g6b931alfrommaster110] 
Ee Edt Vew Go Capture Anayze Statstcs Telephony Toog Jntemak Hep 

全 回首 本 甫 | 饭 全 光 多 | 公信 国定 于 QQQ| 醒 国 蝎 
Filer: 四 erpression.. Clear Apply Save 

jo Time Source Destination Protocol Length Info 


7 0.00275000 192.168.0.109 221.204.160.40 TCP 66 14216 > http [syN]j seq=0 win=81, 

8 0.00436000 221.204.160.40 192.168.0.109 TCP 66 http > 14215 [SYN, ACK] seq-0 

9 0.00441000 192.168.0.109 221.204.160.40 TCP 54 14215 > http [ACK] Seq-l Ack-1 ) 
Tl mn = ， 


DFC Tr TO por es Weep Coo 
[stream index: 6] 

Sequence er 有 Crelative 5equence number) 
Header en - 


5 ze Value: 819 
PP window 5iz Expand Al 
国 Checksum: Ox3f31 [vali Colapse Al 

困 Options: (12 bytes), M 


| 
) ，window scale，No-operz 


Folow UDP Stream 


图 4.53 ”使 用 过 滤器 


(4) 在 该 界面 选择 Selected 命令 后 ， 将 显示 如 图 4.54 所 示 的 界面 。 
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古 tcp-connection pcapng [Wireshark 1107 (v1.107-0-g6b931al from master-110) 
Hle Edt Vew Go Capture Anayze Statstcs Telephony Ioos jntemak Hep 
男 加 


dO@#0A|DSOXSlAae 人 oT 四 aaang 


图 4.54 添加 过 滤器 


(5) 从 该 界面 可 以 看 到 Wireshark 自动 创建 了 一 个 过 滤器 tcp.flags 一 0x0002。 此 时 单 击 
Apply 按钮 ， 查 看 过 滤 的 数据 。 但 是 ， 仅 使 用 该 过 滤器 还 不 能 实现 我 们 的 目标 。 如 想 要 查 
看 这 个 网 络 中 是 否 有 客户 端 ， 尝试 TCP 连接 ， 需 要 在 上 面 的 过 滤器 后 面 添 加 && 
ip.dst==221.204.160.0/24， 然 后 单 击 Apply 按钮 ， 将 在 Wireshark 界面 显示 匹配 新 建 过 滤器 
的 数据 ， 如 图 4.55 所 示 。 


tep-connection peapng [Wireshark 1107 (W1107-0-g6b931alfriommasterl10] lade 
Fie Edt Vew Go Capture Anayze Statstics Telephony Iook Intemas Hep 
日 加 而 本 厢 | 巴 外 其 爷 | 尺 9 二子 业 | 四 加 QI 可 回 


= [= | Expression.. Clear Apply Save 


|® | Fie: "Di\races\tcp-connectio... | Packets: 四 ere Ea Profile: Defeuk 
图 4.55 匹配 的 数据 
(6) 从 该 界面 可 以 看 到 匹配 tcp.flags 一 0x0002 && ip.dst==221.204.160.0/24 过 滤器 的 数 


据 包 有 两 个 。 从 这 两 个 数据 包 中 ， 可 以 看 到 客户 端 192.168.0.109 正 尝 试 连接 到 
221.204.160.40 服务 器 。 


4.8.3 ”使 用 关键 字 


有 时 候 ， 用 户 需要 查找 一 个 特殊 的 单词 《如 在 一 个 捕获 文件 中 的 “admin”) 。 但 是 
用 户 也 想 查 看 整个 帧 或 特别 的 字段 等 。 下 面 将 介绍 搜索 关键 字 的 方法 。 


1. 使 用 frame contains "string" 搜 索 


用 户 可 以 使 用 frame contains "string" 过 滤器 ， 在 帧 中 搜索 一 个 关键 字 。 例 如 ，frame 
contains "admin" 过 滤器 ， 表 示 通 过 以 太 网 在 以 太 网 头 部 搜索 整个 帧 中 的 admin (都 是 小 写 
字母 ) 字符 串 。 


2. 使 用 字段 名 搜索 


前 面 介绍 过 查看 一 个 字段 名 的 方法 。 可 通过 查看 字段 名 ， 创 建 显示 过 滤器 搜索 数据 。 
例如 ， 查 看 一 个 FTP 包 中 ， 包 含 的 用 户 名 。 

在 Packet Details 面板 中 选择 FTP 的 用 户 名 ， 在 状态 栏 中 将 会 看 到 其 字段 名 为 
ftp .requestarg， 如 图 4.56 所 示 。 

从 该 界面 可 以 看 到 FTP 用 户 的 字段 名 为 fp -requestarg。 现在 就 可 以 使 用 在 过 滤器 中 输 
入 ftp.request.arg contains "admin" 在 FTP 请 求 参数 字段 中 搜索 “admin”。 
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ROAD > wyw wD 


Ee Ede View Go Capture Anayze Statstics Telephony Took Intemas Hep 


Se@ 和 几 | 白 人 XD A9 人 FL | 国 adQQD 四 > 
mr er ow 1» 


INo. Time Source Destination Protocol Length Info 
66 15.685555000 192.168.0.109 192.168.0.114 FTP 64 Request: USER ttp 


Frame 66: 64 bytes on wire (S12 bits), 64 bytes captured (S12 bits) on interface 0 ~ 
||a ethernet 11, Src: Giga-Byt_c8:4c:89 (1c:6f:65:c8:4c:89), Dst: Vmware_02:61:71 (00:0| 
Internet Prorocol Version 4, Src: 192.168.0.109 (192.168.0.109), Dst: 192.168.0.114 
© Transmission Control Protocol, Src Port: 15225 (15225), Dst Port: ftp (21), seq: 1, , 
© File Transfer prorocol (FTP) 
日 usER ftp\r\n 
Request command: USER 
Request arg: ftp 
本 


加 一 
(© SM reauest ro (tp.request.arg), 3 bees 120 * Deplayed: 11 (9.2%) * Load -.. 


图 4.56 ”识别 字段 名 


3. 搜索 关键 字 时 不 区 分 大 小 写 


在 Wireshark 的 显示 过 滤器 中 ， 可 以 使 用 正则 表达 式 。 正 则 表达 式 是 特殊 的 文字 字符 
串 ， 用 来 定义 一 个 搜索 模式 。 如 果 想 要 过 滤 一 个 字符 串 ， 以 大 写 或 小 写 形式 过 滤 。 此 时 ， 
就 可 以 使 用 正则 表达 式 和 匹配 操作 符 实现 。 

如 使 用 首 字母 为 大 写 或 小 写 搜索 Admin， 可 以 使 用 ftp.request.arg contains "admin" 或 
ftp .requestarg contains "Admin" 过 滤器 。 

如 果 在 FTP 参数 字段 中 搜索 admin 不 区 分 大 小 写 ， 可 以 使 用 ftp.request.arg matches 
"(2iD admin" 过 滤器 实现 。 在 该 过 滤器 中 ，matches 运算 符 表示 正在 使 用 正则 表达 式 ，(?i) 
表示 搜索 不 区 分 大 小 写 。 


4. 搜索 多 个 单词 


使 用 正则 表达 式 可 以 搜索 多 个 单词 。 搜索 多 个 单词 时 , 可 以 将 括号 和 | 结合 使 用 。 例如 ， 
如 果 在 一 个 捕获 文件 中 查找 cat 或 dog (不 区 分 大 小 写 ) ,就 可 以 使 用 过 滤器 frame matches 
"QD(catldog)"。 

【实例 4-15】 在 一 个 捕获 文件 中 过 滤 一 组 关键 字 。 有 具体 操作 步骤 如 下 所 示 。 

(1) 打开 http-pictures.pcapng 捕获 文件 。 

(2) 在 该 捕获 文件 中 搜索 一 个 简单 的 关键 字 sombrero。 在 显示 过 滤器 中 输入 过 滤器 
frame contains "sombrero" 并 单 击 Apply 按钮 ， 将 显示 如 图 4.57 所 示 的 界面 。 


ppicurespeopng Wiresharkl107 ll070gcbg3lalfommeserlll [elie 
a 由 | 白 和 其 多 |A% 人 9 时 因 国 AaaQQaO 四 昌 半 | 加 


Fir or po ao seoy smn 


INo. Time Source Destination Protocol Length Info < 
1563 35.117502000 24.6.173.220 184.28.78.185 HTTP 472 GET /file_thumbview_approve/16268884/1/s ~ 
4 mn ] ' 

画 Frame 1563: 472 bytes on wire (3776 bits), 472 bytes captured (3776 bits) on interface 0 到 
回 Ethernet I1, Src: Hewlert-_a7:bf:a3 (d4:85:64:a7:bf:a3), Dst: Cadant_31:bb:c1 (00:01:5c:31:bb:c1) 

Internet protocol Version 4, Src: 24.6.173.220 (24.6.173.220), Dst: 184.28.78.185 (184.28.78.185) [5 
Transmission Control Protocol, Src Port: 16652 (16652), Dst Port: http (80), Seq: 9981, Ack: 24561( 


图 4.57 搜索 关键 字 
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(3) 从 该 界面 可 以 看 到 有 一 个 数据 包 ， 匹 配 frame contains "sombrero" 过 滤器 。 

(4) 现在 使 用 matches 运算 符 搜索 关键 字 。 在 显示 过 滤器 区 域 输入 frame matches 
"(2D(sombrerolfootbalD)" 过 滤器 。 在 该 过 滤器 中 ，“)” 和 “(” 之 间 没 有 空格 。 应 用 以 上 过 
滤器 后 ， 将 显示 如 图 4.58 所 示 的 界面 。 

( @ http-pictures pcapng [Wireshark 1107 (v1107-0-g6b93131 from master-110)] 


Fe Edt Vew Go Capture Anayze Statstkxs Telephony Took iIntemas Hep 
do 人 XSO a9 人 DFO AaaQQDl 四 >» 


pn [5] psion. onur cpy sm 


图 4.58 正则 表达 式 搜索 关键 字 
(5) 从 该 界面 可 以 看 和 到， 搜索 到 3 个 匹配 过 滤器 的 数据 包 。 


4.8.4 使 用 通配符 


有 时 候 可 能 需要 查询 一 个 变化 的 字符 串 。 在 这 种 情况 下 ， 就 需要 在 显示 过 滤器 中 使 用 
一 个 通配符 。 本 小 节 将 介绍 在 显示 过 滤器 中 使 用 通配符 。 


1. 使 用 正则 表达 式 “.” 


在 Wireshark 中 ， 可 以 使 用 正则 表达 式 中 的 匹配 操作 符 来 表示 一 个 可 变 的 字符 串 。 在 
正则 表达 式 中 ，“.” 表 示 除 了 换行 符 和 回 车 外 的 其 他 任何 字符 。 当 查找 文字 时 ， 必 须 使 用 
反 斜 杜 (“\”) 来 分 割 它 。 

【实例 4-16】 过 滤 mer 字 符 。 有 具体 操作 步骤 如 下 所 示 。 

(1) 打开 ftp.pcapng 文件 ， 如 图 4.59 所 示 。 

{Mfrppcspng Wireshark1107 wLl07-0-g6b93lalfommasterliil lele 
Fle Edk Vew Go Capture Anayze Statsucs Telephony To05 Intemas Hebp 
ORAS 人 ODOAP 时 OFT QQGQDI 硬 回 网 > 


Fiker: [=] expression.. Clear Apply Save 
No. Time Source Destination Protocol Length Info 
58 197453290 192.168.0.114 192.168 GE ReSPOnS4 


| 66 15.6855550192.168.0.109 192.168.0.114 FTP 64 Request: USER ftp ml 


68 15.6858020 192.168.0.114 192.168.0.109 FTP 88 Response: 331 Please specify 1 
93 24.5173800 192.168.0.109 192.168.0.114 FTP 69 Request: PASS symmetry 
94 24.5188220192.168.0.114 192.168.0.109 FTP 77 Response: 230 Login Successfu ~ 
[ uu me » 
II@ 回 Ready to load or capture Packets: 120 * Displayed: 11 (9.2%) * Dr... Profie: Defaukt 
| ~ 一 -一 一 一 一 一 一 


图 4.59 ”ftp.pcapng 捕获 文件 
(2) 在 该 捕获 文件 中 显示 了 相关 FTP 的 一 些 数据 。 下 面 查找 me.r 字符 串 ， 在 显示 过 
滤器 中 输入 ftp requestarg matches "mer"， 将 显示 如 图 4.60 所 示 的 界面 。 
(3) 从 该 界面 可 以 看 到 显示 了 一 个 包含 symmetry (PASS 命令 后 ) 字符 串 的 数据 包 。 
用 户 也 可 以 改变 这 个 过 滤器 ， 在 字符 之 间 使 用 两 个 通配符 ， 如 “me.r” 
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通 fp pcapng [Wireshark 1107 (vL107-0-g5b93lal frommasterl10 到 
Ee Edt Vew Go Capture Anayze Statstics Telephony Toos Intemas Hep 


避 加 冲 硬 压 | 马 外 其 元 | 尺 9 字 呈 了 业 | 国 加 QI 本 加 罗 ， 
rior aeaagmadeaner [peesen. Ceor Any sn 


INo. Time Source Destination protocol Length info | 


© | Ready to oad or capture Packets: 120 * Displayed: 1 (0.8%) * Dro... | Profie: Default 


图 4.60 使 用 通配符 
2.， 匹配 指定 字符 多 次 重复 的 表达 式 


如 果 一 个 包 过 长 ， 想 要 同时 过 滤 出 两 个 单词 ， 就 可 以 使 用 匹配 指定 字符 多 次 重复 的 表 
达 式 实现 。 如 想 要 搜索 3 次 “mer”， 可 以 使 用 ftp.request.arg matches "me.{1.3}r" 过滤 器。 
该 过 滤器 将 搜索 在 me 和 之 间 出 现 1 个 字符 、2 个 字符 或 3 个 字符 的 字符 串 。 如 果 搜 索 的 
字符 串 不 区 分 大 小 写 ， 可 以 在 me 前 面 添加 (2D。 

【实例 4-17】 在 两 个 单词 之 间 使 用 通配符 过 滤 。 具 体操 作 步 骤 如 下 所 示 。 

(1) 打开 捕获 文件 http-pictures.pcapng。 

(2) 使 用 显示 过 滤器 http.request.uri matches "baby.{1.3}smiling"， 过 滤 匹 配 的 包 ， 显 示 
的 界面 如 图 4.61 所 示 。 


http-pictures.pcapng [Wireshark 1.10.7 (v1L10.7-0-g6b931al from master-1.10)] EO 
Hle Edt View Go Capture Anayze Statistics Telephony Tools lnternas Hep 
园 回 关 靖 芝 | 巴 共和 包 | 以 9 中 和 立 | 国 加 eeQlI 醒 回 虽 ， 


Fikter: | http,request.uri matches "baby,(1,3)smiling" 口 Expression.，Clear Apply Save 


/fi1e_thumbview_approve/16072653/1/stock-photo-16072653-mom-andjbaby-smilingjjpg HTTP/1, 
T /file thumbview_approve/16072653/2/stock-photo-16072653-mom-and. baby-smiling jpg HTTP/I. 


-3 搜索 两 个 单词 之 间 
达到 3 个 “字符 ” 的 数据 


‘ 
[ 


© MH [Fer "CusoraWw Deskton\h. | Packets: 3623 * Displye | Profle: Defau 


图 4.61 循环 使 用 通配符 


(3) 如 果 搜 索 baby 和 smiling 达到 1 一 20 个 字符 的 字符 串 ， 可 将 {1,3} 修 改 为 {1,20}， 
并 应 用 新 的 过 滤器 。 应 用 该 过 滤器 后 ， 显 示 界面 如 图 4.62 所 示 。 


属 http-pictures pcapng [wireshark 1107 (v1107-0-g6b931alfrommasterl10] [=19 


Ele Edt View Go Capture Anayze Statstxs Telephony Iook Intemas Hep 
名 四 着 硬 大 | 马 四 X 多 | 六 9 四 于 和 四国 QQDI 醒 国 蝎 闪 » 
er repreaesei maches obi20mine [5] epeesion ceor Apy soe 


1 人 jpg HTTP/1.1 
/fil e_thumbvie en DOr OvA/A S072653 /1/stock- 


一 RE 一 1 


‘ nm 


© | Fie: “C\Users\yw\Desktop\h... | Packets: 3823 * Displayed: 3 (... | Profie: Defauk 


图 4.62 ”改变 通配符 长 度 


Ik 
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(4) 从 该 界面 可 以 看 到 ， 有 3 个 数据 包 匹配 该 过 滤器 。 
4.9 发 现 通信 延 


当 发 现 访问 Web 服务 器 比较 慢 时 ， 可 以 通过 查看 包 之 间 的 时 间 差 , 来 判断 是 属于 路 径 
延迟 、 客 户 端 延迟 还 是 服务 器 延迟 。 解 决 该 问题 的 最 快 方法 就 是 ， 创 建 时 间 过 滤器 。 在 一 
个 捕获 文件 中 可 以 使 用 时 间 差 或 TCP 时 间 差 两 种 过 滤 方 法 , 来 判断 数据 包 高 延迟 。 本 节 将 
介绍 判断 通信 延迟 的 方法 。 


4.9.1 时间 过 滤器 (frame.time_delta) 


在 Wireshark 中 , 默认 添加 了 Time 列 。 该 列 显示 的 时 间 是 , 捕获 该 数据 帧 所 用 的 时 间 。 
在 Wireshark 中 ， 每 个 包 都 有 抓 取 的 时 间 ， 如 图 4.63 所 示 。 


A ip-portpcapng [Wireshark 1.107 (v1.10.7-0-g6b931a1 from master-1.10)] 
Ele Edt View Go Capture Anayze Statistics Telephony Toos Jntemak Hep 
@@ 帮 本 区 | 书包 X 凶 | 以 9 吕 四 守业 QQQ， 


[= | gpresson- Clear » 


SSDP 208 M-SEARCH 一 
20. Tp 60 5865 > ht 
| 加 419402000| fe80: :1914:a440ff02: :1:ffbc:1c16 ICMPV6 86 Neighbor : 
orcQ 81 OICQ Prot' 
orcQ 89 OICQ Prot' 
是 1. 330391000| fe80: :bo04f :cl0dff02::1:ffll:f390 ICMPVv6 86 Neighbor ; 
1.330494000|| fe80: :81b4:e92f ff02: :1:ffc4:6d39 ICMPV6 86 Neighbor : 
8 ARP Who has 1 
ARP 60 who has 1 
ARP 50 who has 1 
UDP 508 Source pol 

ARP has 1' -| 
am ey wnte ly 


» 


© WW Fie: "C:\Users\yw\Deskt... | Packets: 213 * Displayed: 213 (100... | profile: Defauk 


图 4.63 时间 差 列 


在 该 界面 显示 的 时 间 是 ， 每 个 数据 帧 和 第 1 帧 的 时 间 差 。 在 Wireshark 中 ， 默 认 第 1 
个 数据 帧 的 时 间 为 0.000000000。 在 Packet Details 面板 中 展开 Frame 会 话 部 分 ， 将 会 看 到 
此 帧 与 前 一 帧 和 与 捕获 时 的 时 间 差 值 。 在 Wireshark 的 Frame 会 话 中 ， 提 供 了 
frame.time_delta 字段 来 表示 该 时 间 差 。 这 样 ， 用 户 就 可 以 在 过 滤器 中 使 用 frame.time_delta 
字段 创建 过 滤器 ， 找 出 时 间 延 迟 较 大 的 数据 。 

如 设置 一 个 时 间 延 迟 超过 1 秒 的 过 滤器 ， 使 用 frame .time delta>1。 但 是 该 过 滤器 显示 
捕获 文件 中 所 有 包 的 时 间 ， 这 样 过 滤 后 显示 出 的 包 可 能 是 混杂 的 ， 将 会 导致 某 些 UDP 或 
TCP 包 延 迟 可 能 被 忽视 。 

查看 时 间 延 迟 大 于 1 秒 的 数据 ， 如 图 4.64 所 示 。 

从 该 界面 的 状态 栏 中 ， 可 以 看 到 有 6 个 数据 包 匹 配 frame.time delta > 1 过 滤器 。 此 时 
过 滤 出 的 数据 包 中 ， 各 种 匹配 过 滤器 的 协议 包 都 会 显示 。 
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属 hap pcapng Wireshark 1107 (v1107-0-g6b931alfrommaster110) 上 Cli) 
Ee Edt View Go Capture Anayze Statstics Telephony Ioos Intemas Hep 
dG | 怕人 区 多 | 人 HO QQQ 


2 eT Broadcast 


214 18. 826984000 fe80: :a964:3bd9ff02::1:ffbc:1c16 ICMPv6 
216 20.629854000 fe80: :a964:3bd9ff02::1:ffbc:1c16 ICMPv6 
325 24.837885000fe80::a964:3bdoff02::1:ffbc:1c16 TCMPv6 


图 4.64 ”过滤 高 延迟 数据 


如 果 想 要 过 滤 UDP 应 用 程序 故障 ， 可 以 通过 依次 选择 File|Export Specified Packets 命 
令 过 滤 UDP 包 , 并 保存 到 一 个 新 捕获 文件 。 然后 再 在 新 捕获 文件 中 ,使 用 frame.time_delta 
过 滤器 。 如 果 用 户 想 要 只 过 滤 TCP 时 间 高 延迟 的 数据 包 ， 可 以 使 用 tep.time_delta 字段 创 


4.9.2 基于 TCP 的 时 间 过 滤 (tcp.time_delta) 


tcp.time_delta 字段 和 frame.time_delta 字段 的 功能 类 似 。 只 是 使 用 frame.time_delta 字 
段 ， 过 滤 出 的 数据 包 包 括 各 种 协议 的 包 。 如 果 使 用 tcp-time_delta 字段 过 滤 ， 只 会 过 滤 出 
TCP 协议 的 数据 包 。 用 户 通 过 TCP 时 间 差 值 可 以 判断 出 各 种 网 络 延 迟 , 进而 处 理 网 络 高 延 
迟 问题 。 

tcp.time_delta 字段 包含 在 TCP 头 部 中 。 如 果 要 查看 该 字段 名 , 必须 启用 TCP Preference 
菜单 中 的 Calculate conversation timestamps 选项 才 可 以 。 用 户 可 以 通过 选择 
Edit|Preferences|ProtocolsITCP， 检 查 Calculate conversation timestamps 选项 是 否 启用 。 一 旦 
启用 该 选项 ， 时 间 戳 会 话 将 被 添加 到 Packet Details 面板 中 每 个 展开 的 TCP 头 部 的 结尾 处 ， 
如 图 4.65 所 示 。 
A htp pcapng [Wireshark 1107 (w1107-0-96b931al from masterl10 [eel > 


Ee Edt Vew Go Capture Anayze Sratstcs Telephony Ioos Intemas Hep -一 
Oe@ 和 二 | 已 人 区 多 人 A$9 人 中 名 于 主 | 回 国 QQQD 本 加 加 芝 | 加 


Fer | [=] erpression.. Clear Apply Save 
INo. Time Source Destination Protocol Length lnfo < 
93 9.164287000 192.168.0.104 65.55.69.140 HTTP 179 GET /r/rlidwatsonRC14 HTTP/1.1 = 


98 9.458754000 65.55.69.140 192.168.0.104 HTTP 522 HTTP/1.1 301 Moved Permanent1y 
105 9.856315000 192.168.0.104 65.55.227.140 HTTP 209 GET /down1oad/f11e.a5px?A5SerID, 
L168 15. 695792000 65.55. 227.140 192.168.0.104 HTTP 1494 [TCP Retransmission] HTTP/1.1 24 


和 F 
LnooW S12e Scaling Tactor: 
a Checksum: Ox9fc9 [va1lidation disabled] 
回 [SEQ/ACK analysis] 
日 o 
[Time since First Frame in this TCP Stream 0-266931000 seconds] E 
[rime since previous frame in this TCP stream: 0.000001000 seconds] 习 


| 图 醒 | ThEfeme hassome of 


Packets: 401 * Displayed: 36 (9.0%) * L... | Profie: Defauk 


图 4.65 添加 的 时 间 戳 
如 果 要 想 添 加 TCP 时 间 差 列 ， 右 键 单 击 时间 惟 的 第 二 行 ， 并 选择 Apply as Column 选 
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项 。 现 在 就 可 以 使 用 TCP 时 间 差 过 滤器 数据 包 。 如 过 滤 TCP 时 间 差 大 于 1 秒 的 数据 ， 输 
入 过 滤器 为 tcp.time_delta > 1。 使 用 该 过 滤器 ， 结 果 如 图 4.66 所 示 。 
hppcapng [wireshark 1107 (vL107-0-g6b93lal fommasterlli le 


Ele Edt View Go Capture Anayze Statstics Telephony IToos Intemas Hep 
oao@#ld| 电 XSAe 人 OFT 下 | 国 国 QaQQD 本 田 罗 并 | 加 


[window size scaling factor: 1] 
国 Checksum: Oxe85a [validation disabled] 
田 
日 [Timestamps] 
[Time since first frame in this TCP stream: 3.639460000 seconds] 
[Time since previous frame in this TCP stream; 1.541967000 seconds] 国 


JReassembled PDU in frame: 168] 
TCP segment 和 (1440 A 


3 FEED Packets: 401 * Displayed: 2 (0.5%) * Lo... | Profle: Defauit 
图 4.66 TCP 时 间 差 过 滤 


从 该 界面 的 状态 栏 中 可 以 看 到 ， 有 两 个 包 匹 配 tcp.time_delta > 1 过 滤器 。 

使 用 Wireshark 分 析 数 据 包 ， 显 示 过 滤器 是 必 不 可 少 的 。 当 用 户 需要 添加 多 个 显示 过 
滤器 时 ， 如 果 一 条 一 条 添加 可 能 会 觉得 很 麻烦 。 这 时 候 用 户 可 以 将 所 有 的 过 滤器 保存 在 一 
个 文本 文件 中 ， 然 后 使 用 Wireshark 的 导入 功能 一 起 将 所 有 的 显示 过 滤器 导入 到 使 用 的 
Profile 中 。 下 面 演示 导入 显示 过 滤器 的 方法 。 

【实例 4-18】 导入 显示 过 滤器 到 Profile 中 。 具 体操 作 步 又 如 下 所 示 。 

(1) 在 状态 栏 中 查看 当前 使 用 的 Profile， 本 例 中 使 用 新 创建 的 Profile wireshark， 如 图 
4.67 所 示 。 


lle WH [Ready to load or apture Packets: 401 - Dsplayed:... 
图 4.67 使 用 wireshark Profile 
(2) 从 该 界面 可 以 看 到 ， 目 前 使 用 的 Profile 是 wireshark。 接 下 来 通过 选择 Help|About 


Wireshark|Folder|Personal configuration， 并 双击 打开 personal configuraton 文件 夹 。 打 开 的 
界面 如 图 4.68 所 示 。 


np 
© 

加 WinRAR 。 “名 你 修改 日 期 类 型 | 
A | 
凡 Wiresha Gs 2014/6/24 10:37 。 文 忻 | 
点 profiles preferences 2014/6/24 10:32 ”文件 上 
赴 保存 的 游戏 DD recent 2014/6/24 10:17 。 文件 咱 
EL 有 本 | 
闻 入 冯 | 
必 收 关 号 可 可 


图 4.68 ”wireshark 中 的 文件 


(3) 从 该 界面 可 以 看 到 ， 有 3 个 文件 。 其 中 ，dfilters 文件 是 用 来 保存 该 Profile 中 可 用 
过 滤器 的 。 如 果 目 前 使 用 的 Profile 没有 创建 过 滤器 的 话 ， 是 不 会 存在 dfilters 文件 的 。 


ws 
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关于 如 何 创建 显 示 过 滤器 ， 在 前 面 已 经 介绍 ， 这 里 就 不 再 袭 述 。 本 例 中 使 用 
www.wiresharkbook.com 中 编写 好 的 过 滤器 文件 为 例 ， 演 示 导 入 到 目前 存在 的 dfilters 文 
件 中 。 


(4) 从 www.wiresharkbook.com 网 站 下 载 dfilters_sample.txt 文件 。 该 文件 内 容 ， 如 图 
4.69 所 示 。 


CE Delte Tipe > 1 tcp. time, el 
DNS or HTTP Errors” ne len. ooda 13 0) | We 


ER ER method 一 http. request. 


Ee Not ed Ris BOS RA or om) 二 0xc0000034 
Login-Administrator Account” ntlmssp. aut] “Administrator” 


图 4.69 dfilters_sample.txt 文件 
(5) 从 该 界面 可 以 看 到 样品 文件 dfilters_sample.txt 中 ， 定 义 了 6 个 过 滤器 。 这 里 将 该 
文件 中 的 全 部 内 容 复 制 到 dfilters 文件 中 。 
(6) 返回 到 Wireshark 主 界面 ， 重 新 加 载 profile， 使 得 wireshark profile 生效 。 然 后 在 
显示 过 滤器 区 域 单 击 Filter 按钮 ， 将 查看 到 导入 的 显示 过 滤器 列表 ， 如 图 4.70 所 示 。 


属 wireshark Display Fiter -proflewieshak elel 


Ed Disply Fiter 


No ARP and no DNS 入 
Non-HTTP and non-SMTP to/from 192.168.0.1 


Mew MyipAddress 


TCP Delta Time > 1 Second 

DNS or HTTP Errors 

HTTP GET/POST 

Packets with Comments 

File Not Found (STATUS_OBJECT_NAME_NOT_FOUND) 
SMB2 Login-Administrator Account 


Fiter name: Wireshark 101 Book Sample Display Fikers (www.wiresharkbook.com) 


Fersmgfaome Eee 
Help Appy | [ Concel | 


图 4.70 导入 的 显示 过 滤器 
(7) 从 该 界面 可 以 看 到 被 导入 的 显示 过 滤器 。 


4.10 设置 显示 过 滤器 按钮 


在 Wireshark 设置 显示 过 滤器 按钮 ， 可 以 提高 分 析 数据 包 的 速度 。 用 户 可 以 手动 地 添 
加 、 编 辑 或 删除 显示 过 滤器 按钮 。 本 节 将 介绍 设置 显示 过 滤器 按钮 。 


yk 
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4.10.1 创建 显示 过 滤器 表达 式 按钮 


创建 显示 过 滤器 表达 式 按 钮 后 ， 用 户 就 可 以 直接 使 用 添加 的 过 滤器 了 ， 而 不 需要 每 次 
过 滤 时 都 输入 一 次 过 滤器 表达 式 。 下 面 将 介绍 创建 显示 过 滤器 表达 式 按钮 的 方法 。 

创建 显示 过 滤器 表达 式 按钮 其 实 很 简单 ， 只 需要 在 显示 过 滤器 区 域 输入 显示 过 滤器 ， 
然后 单 击 Save 按钮 保存 即 可 。 

【实例 4-19】 创建 GETIPOST 显示 过 滤器 表达 式 按钮 ， 具 体操 作 步 又 如 下 所 示 。 

(1) 在 显示 过 滤器 区 域 输入 一 个 过 滤器 http .requestmethod matches "(GETIPOST)"， 如 
图 4.71 所 示 。 

属 htppcapng IWireshark 1107 (v1107-0-96b93lalfiommasterl10] | 


Seine 
oO@RUAEDEDOXS 一 一 一 一 
| 


me 


图 4.71 添加 显示 过 滤器 按钮 
(2) 输入 以 上 过 滤器 后 ， 单 击 Save 按钮 后 ， 将 显示 如 图 4.72 所 示 的 界面 。 


P| 
Save Flter as... 


eipreavest method matehes "(GETIPOST]” | To 
| EE ox |] Cene | 


图 4.72 保存 过 滤器 


(3) 在 该 界面 可 以 指定 过 滤器 的 按钮 名 称 ， 这 里 是 GETIPOST。 然 后 ， 单 击 OK 按钮 
将 完成 添加 。 

在 Wireshark 中 ， 可 以 创建 无 数 个 过 滤器 表达 
式 按钮 。 如 果 创 建 的 按钮 很 多 ，Wireshark 将 会 显示 避 | 钾 国 皮 壮 | 回 
为 “>>” 按 钮 。 单 击 “>>” 按 钮 ， 可 以 看 到 其 他 没有 J sppy see Gerposr 国 由 
显示 的 按钮 ， 如 图 4.73 所 示 。 .168.0.111? Tell | 

从 该 界面 可 以 看 到 在 “>>” 按 钮 中 ， 有 5 个 过 [Syw， XI seano AKC wa 


|=1 Ack=1 Win=64800 Li 


滤器 表达 式 按钮 。 如 果 在 “>>” 列 表 中 仍然 有 很 多 ene 人 rndex json Wen 


33 [ACK] Seq=1 Ack=215 Win=15008 上 


按钮 ，Wireshark 将 有 一 个 向 下 箭头 ,滚动 鼠标 可 以 本 
查看 所 有 的 过 滤器 表达 式 按钮 。 国 473 生 不 本 作 全 


4.10.2 ”编辑 、 添 加、 删除 显示 过 滤器 按钮 


有 时 候 需 要 对 新 建 的 过 滤器 表达 式 按钮 进行 编辑 、 添 加 或 删除 。 在 显示 过 滤器 区 域 只 
有 Save 按钮 ， 没 有 Edit 按钮 。 如 果 想 要 进行 编辑 、 添 加 或 删除 显示 过 滤器 按钮 ， 需 要 在 
首选 项 中 设置 。 下 面 将 介绍 编辑 、 添 加 、 删 除 显示 过 滤器 按钮 的 方法 。 
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在 Wireshark 的 工具 栏 中 依次 选择 Edit|Preferences， 将 打开 如 图 4.74 所 示 的 界面 。 


Wiresharke: preferences - Profile: wireshark loess 
Layout Save wndow postion: 回 
Columns Save window sze: 问 
Font and Colors Save sate: 团 
Capture 
ed biden Check for updates: - 团 
Name Resolution Open a console wndow Never 日 
Printing “Fle Open” dialog behavior: 加 Remember last directory Always start in: 
田 Protocols 
Statistics Drectory: |C\Users\lyw\Documents 
“File Open" preview tmeout: 3 - 
ED [ed 
图 4.74 首选 项 设置 
在 该 界面 选择 Filter Expressions 选项 ， 将 显示 如 图 4.75 所 示 的 界面 。 
{ @ Wiresharke: Preferences - Profile: wireshark [ET 一 > 一 | 


日 User Interface 
Layout 


Enabled Label Filter Expression 
Columns 


GETIPOST hp 


Font and Colors 


|] HTTPpdoe http.responsecode > 399 && http.response.code < 50 
加 。 HTTp3ee。 hpuresponsecode > 299 Ra httpresponsecode < 400 
加 ”HTTpsoe http.responsecode > 499 


的 Eee 


Name Resolution 
Printing 

@ protocols 

Statistics 


Help 


[The frst lst entry wl be dsplayed as the frst button right of the Save button - Drag and drop entries to change coummn order] 


图 4.75 过 滤器 表达 式 


在 该 界面 可 以 看 到 已 经 添加 的 显示 过 滤器 表达 式 。 此 时 ， 就 可 


达 式 过 滤器 了 。 在 该 界面 通过 单 击 Add 和 Remove 按钮 ， 可 添加 利 
按钮 。 如 果 要 编辑 过 滤器 表达 式 按钮 ， 使 用 鼠标 单 击 按钮 名 ， 即 可 


[以 编辑 、 添 加 或 删除 表 
1 删除 显示 过 滤器 表达 式 
[修改 。 


4.10.3 ”编辑 preferences 文件 


在 Wireshark 中 ， 每 个 Profile 的 保存 目录 中 都 存在 一 个 preferences 文件 。 该 文件 中 保 
存 了 显示 过 滤器 表达 式 按钮 。 在 Wireshark 的 状态 栏 中 ， 可 以 看 到 当前 使 用 的 Profile。 通 
过 选择 Help|About Wireshark 命令 , 在 该 界面 双击 Personal Configuration 文件 夹 ， 进 入 当前 
使 用 的 Profile 目录 中 。 

preferences 文件 是 一 个 文本 文件 ， 它 可 以 直接 使 用 文本 编辑 器 打开 。 过 滤器 表达 式 按 
钮 设置 , 保存 在 该 文件 的 Filter Expressions 区 域 。 下 面 看 一 个 显示 preferences 文件 的 例子 ， 
如 图 4.76 所 示 。 

如 图 4.76 所 示 是 使 用 记事 本 打开 preferences 文件 的 界面 , 从 该 界面 可 以 看 到 定义 的 显 
示 过 滤器 表达 式 按钮 。 如 GETIPOST、CONNECT、HEAD 和 HTTP4xx 等 。 


= 


“se 
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图 4.76 preferences 文件 


【实例 4-20】 创建 并 导入 HTTP 过 滤器 表达 式 按钮 。 具 体操 作 步 又 如 下 所 示 。 

(1) 打开 一 个 捕获 文件 ， 名 为 http.pcapng。 

(2) 在 显示 过 滤器 区 域 输入 http.request.method matches "(GETIPOST)"， 然后 单 击 Save 
按钮 ， 将 弹出 如 图 4.77 所 示 的 界面 。 


图 4.77 保存 过 滤器 


(3) 默认 的 过 滤器 按钮 是 Filter， 这 里 为 了 更 容易 地 区 分 开 每 个 按钮 ， 将 此 名 修改 为 
GET|IPOST， 如 图 4.78 所 示 。 


4.78 修改 过 滤器 名 
(4) 修改 按钮 名 称 后 ， 单 击 OK 按钮 ， 将 显示 如 图 4.79 所 示 的 界面 。 


Ee Edt Vew Go Cpture Anayie Statetcs Telephony Ioos Intemas Heb 
olAlDOXS 六 9 了 于 业 | 四 加 QQeaQl vu Er | 
| Fher Eprestion Cear spry so FT 


图 4.79 新建 的 过 滤器 按钮 


(5) 现在 就 可 以 单 击 GETIPOST 按钮 ， 过 滤 匹 配 该 过 滤器 的 数据 包 。 本 例 中 ， 匹 配 
GETIPOST 过 滤器 的 数据 包 如 图 4.80 所 示 。 

(6) 从 该 界面 可 以 看 到 有 5 个 数据 包 匹 配 GETIPOST 过 滤器 。 使 用 该 按钮 可 以 快速 地 
查看 Web 请 求 或 发 送 给 Web 服务 器 的 信息 。 


a 
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pve Meetni07 C107 0 on “ “ 
Ele Edt View Go Capture Anayze Statistics Telephony IToos JIntemas Hep 
do@d| 马 人 其 多 | 人 A 人 中 写 宇 和 主 | 国 国 QQQ 昌 入 田 加 亲 | 加 


93 9.164287000 ”192.168.0.104 65. 55.69 140 HTTP 179 CET /r/riidwatsonRc14 HTTP7 1 二 

105 9.856315000 192.168.0.104 65.55.227.140 HTTP。 209 GET doad/fileiespk3As55etTDaAEI0807 人 9 
241 26.864924000 192.168.0.104 112.65.208.58 HTTP 。 109 POST /msvquery | 
人 30.408890000 192.168.0.104 124.40.41.6 HTTP 325 GET crl 

4 um 

@ Wi Ready to load or capture | Packets: 401 * Displayed: 5 (1.2%) * Load time: 0:00.022 Profie: wireshark 


图 4.80 匹配 GETIPOST 过 滤器 的 数据 


上 面 是 添加 单个 过 滤器 表达 式 按钮 的 标准 过 程 。 接 下 来 将 介绍 直接 导入 一 系列 过 滤器 
表达 式 按 钮 到 Profile wiresharkd 的 preferences 文件 。 具 体操 作 步 骤 如 下 所 示 。 

(1) 使 用 文本 编辑 器 (如 WordPad) ， 打 开 preferences 文件 (包含 在 Profile wireshark 
目录 ) 。 如 果 不 知 道 wireshark 目录 的 位 置 ， 选 择 Help|About Wireshark|Folders 命令 ， 并 双 
击 personal configuration 文件 夹 。 然 后 进入 profiles 中 ， 即 可 看 到 wireshark 目录 。 

(2) 使 用 文本 编辑 器 的 查询 功能 ， 定 位 到 preferences 文件 中 的 Filter Expressions 部 分 ， 
将 会 看 到 有 一 个 GETIPOST 过 滤器 表达 式 按钮 条 目 ， 如 图 4.81 所 示 。 


.filter_expressions. : TRUE 
gui. filter_expressions. expr: http. request. method matches “(GET|POST)” 


1 


图 4.81 显示 过 滤器 表达 式 按钮 


(3) 从 该 界面 可 以 看 到 已 添加 的 GETIPOST 过 滤器 表达 式 按钮 条 目 。 本 例 中 使 用 
www.wiresharkboot.com 中 的 filterexpressions101.txt 文件 为 例 ， 将 该 文件 中 的 内 容 导 入 到 
preferences 中 。 

(4) 打开 filterexpressions101.txt 文件 ， 复 制 该 文件 中 的 所 有 内 容 ， 粘 贴 到 preferences 
中 棒 枯 机 # Filter Expressions ##### 机 柑 区 域 下 新 建 的 GETIPOST 条 目下 边 。 然后, 保存 并 关 
闭 preferences 文件 。 

(5) 重新 加 载 wireshark Profile， 将 看 到 新 建 的 过 滤器 表达 式 按钮 ， 如 图 4.82 所 示 。 


:上 奴 荔 | 加 


图 4.82 导入 的 过 滤器 表达 式 按钮 


(6) 从 该 界面 可 以 看 到 导入 的 过 滤器 表达 式 按 钮 。 以 后 使 用 这 几 个 过 滤器 时 ， 就 不 需 
要 每 次 都 输入 过 滤器 的 表达 式 了 。 如 果 不 想 保 留 这 些 过 滤器 表达 式 按钮 ， 可 以 单 击 Edit 
Preferences 按钮 ， 并 选择 Filter Expressions， 取 消 不 使 用 的 过 滤器 表达 式 复 选 框 的 对 勾 就 可 
以 了 。 然 后 单 击 OK 按钮 ， 保 存 设 置 。 


ls 
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在 前 面 章节 中 分 别 介绍 了 使 用 捕获 过 滤器 、 显 示 过 滤器 过 滤 捕 获 文件 中 的 数据 包 。 通 
过 使 用 显示 过 滤器 , 可 过 滤 到 所 有 有 用 的 数据 包 。 但 是 为 了 使 自己 需要 的 包 更 加 突出 显示 ， 
可 以 通过 创建 着 色 规 则 来 实现 。 由 于 使 用 显示 过 滤器 过 滤 出 的 包 ， 在 下 次 打开 捕获 文件 时 
还 需要 再 次 过 滤 。 为 了 节约 时 间 ， 可 以 将 过 滤 后 的 数据 包 导出 。 本 章 将 介绍 着 色 规则 和 数 
据 包 导 出 。 


5.1 认识 着 色 规 则 


每 个 包 的 颜色 ,， ei oo eli 
一 个 包 被 着 色 ， 可 以 在 Packet Details 面板 中 展开 包 的 帧 部 分 ， 查 看 着 色 规则 和 着 色 规 则 字 
符 串 行 ， 如 图 5.1 所 示 。 

A http pcapng [Wireshark 1107 w1L107-0-96b93lalfrom masterl10 ee 
Hle Edt Vew Go Capture Anayze Statstics Telephony Too5 Intemas Hep 
| 全 四 着 古 区 | 巴 牟 艺人 9 交加 字 业 QQQDI1 醒 加 


Fer | Expression -Gear 
No Time Source Destination Protocol Length Info < 


天 630707000 0: a964: a:fl39 :2:1:ffb 9 
32 2.692377000 Giga-l | 7: 二 Broadcast ARP 60 who i 5 
4 加 


S Frame 30: 86 bytes on wire (688 一 86 bytes captured (688 bits) on interface 0 <|| 
Interface id: 0 
Encapsulation type: Ethernet (1) 
Arrival Time: Jun 11, 2014 09:12:19. 562106000 和 四 四 看 甸 
[Time shift for this packet: 0.000000000 seconds] 
Epoch Time: 1402449139. 562106000 seconds 
[Time delta from previous captured frame: 0.320880000 seconds] 
[Time delta from previous displayed frame: 0.320880000 seconds] 


[Time since reference or first frame: 1.630158000 seconds] 
Frame Number: 30 

Frame Length: 86 bytes (688 bits) 

Capture Length: 86 byres (688 bits) 

[Frame is marked: False] 
re ignored: False] 


[co1or ing Rule Nane MP] 
[coloring Rule Strin p 


TE:80:68:24:58), Dst: IPv6mcast_ff:bc:lc: Ee 


[EE ER ET | Packets: 401 ~ ~ Depiayed: 401 (100.0%) ~ Lo ee | Prolle: wastrk 
[eS 


图 5.1 查看 包 着 色 规 则 名 


从 该 界面 可 以 看 到 30 帧 的 着 色 规 则 名 是 ICMP、 着 色 规则 字符 串 是 icmp || icmpv6。 
【实例 S-1】 使 用 着 色 规则 添加 一 列 。 具 体操 作 步 骤 如 下 所 示 。 
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(1) 打开 http.pcapng 捕获 文件 。 

(2) 在 工具 栏 中 单 击 蔓 〈 定 位 包 的 编号 ) 按钮 切换 到 65 帧 ， 如 图 5.2 所 示 。 

(3) 在 该 界面 输入 定位 包 的 编号 65， 然 后 单 击 Jamp to 按钮 ， 将 显示 如 图 5.3 所 示 的 
界面 。 


通 http-sfgate pcapng [Wireshark 1107 (v1.10.7-0-g6b931a1 from master-1.10)] 

Ee EIt Vew Go Capture Anayze Statetcs Telephony Toog jntemak Hep 

名 辐 丰 本 匠 | 牟 包 其 多 | 六 9 四 于 和 | 同 国 @eQl 攻 
[spresson- Clear 

Protocol Length Info 


67 12. 869566000 fe80 
58 13. 343432000 111. 
69 13. 641757000 fc80: : 


属 wiresharc GoTopadet ES 
Packet number: 69| 


[up | Leee | [ come | 


121 OICQ Prorocol 
208 M_SEARCH * HTTP/1. 


81b4: e921ff02::C 


71 14. 533330000 fe80:: 
72 15.732269000 fe80:: 


1d88:adb1ff02::1:2 DHCPVv5 148 Solicit XID: Oxeal0s 
bd12:fbctff02::1:2 “148 Solicit XID: Ox9ddf; 


图 5.2 切换 包 图 5.3 不 同 着 色 规则 


(4) 从 该 界面 可 以 看 到 该 捕获 文件 的 区 域 ， 有 4 种 不 同 的 着 色 规则 。 注 意 ， 在 该 界面 
深蓝 色 高 亮 的 包 不 是 使 用 了 任何 彩色 着 色 规则 ， 而 是 因为 选择 了 该 包 。 

(5) 在 Packet Details 面板 中 展开 65 帧 ， 在 展开 的 信息 中 右键 单 击 Coloring Rule Name 
字段 ， 并 选择 Apply as Column 命令 ， 将 显示 如 图 5.4 所 示 的 界面 。 


帮 http-sfgate.pcapng [Wireshark 1.10.7 (v1.10.7-0-g6b931a1 from master-1.10)] 
Ee Edt Yew Go Capture Anayze Statstics Telephony Ioos Intermas Hep 
doa 让 XS A 中 OF | 国 目 QQQOI 国 加 关 | 名 


Fiker | Expression.. Clear Apply Save 


67 12.869566000 fe80::a00:37ff:fetff02::fb MI Btandard quer' 
68 13.343432000 111.161.52.187 192.168.0.105 brca Prorocol 
69 13.641757000 fe80: :81b4:e92f:dziff02::C Ss: 


图 5.4 添加 着 色 规 则 列 


(6) 从 该 界面 可 以 看 到 成 功 地 添加 了 着 色 规 则 列 ,默认 的 列 名 称 为 Coloring Rule Name。 
5.2 ”禁用 着 色 规 则 


有 时 候 在 一 个 页 面 中 ， 标 记 有 多 种 颜色 会 让 人 觉得 很 反感 。 所 以 ， 需 要 禁用 这 些 着 色 
规则 。 本 节 将 介绍 禁用 着 色 规 则 的 方法 。 


5.2.1 禁用 指定 类 型 数据 包 彩 色 高 亮 
Wireshark 通过 Coloring Rules (着 色 规则 ) 窗口 可 以 很 容易 地 查看 每 个 协议 所 对 应 的 
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颜色 。 在 着 色 规 则 窗口 中 ， 还 可 以 对 着 色 规则 进行 更 多 的 操作 。 如 新 建 、 编 辑 、 禁 用 和 启 
用 等 。 下 面 介绍 禁用 个 别 类 型 数据 包 彩 色 高 亮 。 
在 工具 栏 中 单 击 晶 〈 编 辑 着 色 规则 ) 按钮 ， 打 开 着 色 规则 窗口 ， 如 图 5.5 所 示 。 


属 wiresharkc Coloring Rules - Profile: wireshark [ES 一 x 一 | 
Ed ~ Fker 一 一 一 一 order — 
List s processed in order unti match is found 
New Name String <^ 
上 = | 
ARP ap | 
ICMP jemp || iempv6 | 
| 
Move 
selected 做 er 
upordown | 
Manage 
SMB smb ll nbss ll nbns | nibipx || ipxsap || netbios 
Import| HTTP http || tcp.port == 80 
JpX ipx | spx 
Re de 
Export] Routing hsrp ll igrp || ospf Il bgp ll cdp || vrrp ll gvrp ll igm 
TeP SNAN tpfags 2ltpfogsfinsl 
Tcp tcp 
Clear ] upp udp 
Help QK Apply Cancel 
图 5.5 着色 规则 窗口 
在 该 界面 可 以 看 到 每 种 数据 包 默 认 的 颜色 。 在 该 界面 可 以 禁用 一 类 或 多 类 数据 包 彩 色 


高 亮 。 例 如 , 禁用 检查 错误 包 的 彩色 高 亮 , 首先 选择 Checksum Errors 颜色 , 然后 单 击 Disable 
按钮 ， 将 显示 如 图 5.6 所 示 的 界面 。 


{ @ wireshark Coloring Rules - Profile: wireshark Eel ) 
Ed Fker = = = 一 Order 


List s processed mn order unti match sfound 


New | Name 


Edit. 


Enable 


Move 


Le ] | selected 全 er 
up or down 
Manage 
smb ll nbss | nbns | nbipx | pe 
Importe,| HTP http || tcp.port == 80 
IPX ipxllspx 
Expod-| nouing hsrp | eigrp ll ospf | bgp ll cdp ll vrrp lgwp | igmp I| ismp 
TEP SYN/FIN ‘tcp-flags & M02 | tcpfagsfn == 1 | Down, 
Tcp tcp 


[ESess| Upp udp 


[bee appy Sancel | 


图 5.6 禁用 个 别 数据 包 彩 色 高 亮 
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从 该 界面 可 以 看 到 Checksum Errors 包 彩 色 高 亮 已 被 禁用 。 
5.2.2 ”禁用 所 有 包 彩 色 高 亮 


如 果 用 户 不 喜欢 显示 数据 包 的 彩色 规则 ， 可 以 在 工具 栏 中 选择 View|Colorize Packet 
List 命令 或 加 (Colorize Packet List) 按钮 ， 开 启 或 关闭 所 有 着 色 规则 。 禁 用 所 有 包 彩 色 高 
亮 后 ， 显 示 界 面 如 图 5.7 所 示 。 

“过 十 2 [wireshark 1107 wL107-0-g6b93lal from masterll0l cc le 


Ele Edt Yew Go Capture Anayze Statstics Telephony Iook Intemas Hep 
回回 大 而 拓 | 巴 钊 X 包 | 以 9 中 国定 和 业 QiQiQiOl Ys 


Fiter: [=] erpression.. 

INo. Time Source Destination Protocol Length Info < 

10.000000000 218.26.67.75 192.168.0.105 TCP 60 http > 4227 [FIN, “| 
2 0.000047000 192.168.0.105 218.26.67.75 TCP 54 [TCP Zerowindow] « 
30.127099000 218.26.67.75 192.168.0.105 TCP 60 http > 4230 [FIN, 
| 4 0.127100000 218.26.67.75 192.168.0.105 TCP 60 http > 4228 [FIN, 
5 0.127101000 218.26.67.75 192.168.0.105 TCP 60 http > 4229 [FIN, 
| 6 0.127142000 192.168.0.105 218.26.67.75 TCP 54 [TCP Zerowindow] «< 
7 0.127143000 192.168.0.105 218.26.67.75 TcP 54 [TCP Zerowindow] : 
| 8 0.127162000 192.168.0.105 218.26.67.75 TCP 54 [TCP Zerowindow] «< 
90.255051000 218.26.67.75 192.168.0.105 TCP 60 http > 4231 [FIN, 
| 10 0.255089000 218.26.67.75 TCP 54 [TCP Zerowindow] «< 


192.168.0.105 
11 0.987651000 > 
12 1.444594000 


74.125.10.238 TCP 62 1l2c-contro] > htty 
192.168.0.1 DNS 70 standard query Ox( - 
rh ee 


图 5.7 禁用 所 有 包 彩 色 高 亮 


5.3 创建 用 户 着 色 规则 


当 用 户 访问 Web 服务 器 发 现 速度 慢 时 , 通常 会 查找 导致 该 问题 的 原因 。 这 时 候 就 需要 
查看 在 访问 Web 服务 器 过 程 中 ,延迟 时 间 最 长 的 数据 包 。 为 了 能 更 明显 地 找 出 这 些 包 , 用 
户 可 以 手动 创建 延迟 着 色 规则 。 本 节 将 介绍 创建 延迟 着 色 规 则 的 方法 。 


5.3.1 创建 时 间 差 着 色 规则 


当 用 户 发 现 访问 Web 服务 器 速度 非常 慢 时 ， 可 以 使 用 过 滤器 查看 通信 延迟 。 用 户 可 以 
使 用 类 似 的 技术 来 创建 一 个 单一 的 着 色 规 则 ， 彩 色 高 亮 时 间 差 的 包 。 着 色 规则 字符 串 与 显 
示 过 滤器 语法 相同 。 当 创建 着 色 规 则 时 ， 用 户 可 以 通过 复制 显示 过 滤器 到 着 色 规则 字符 串 
区 域 来 实现 。 

【实例 5-2】 创 建 时 间 差 着 色 规则 。 具 体操 作 步 又 如 下 所 示 。 

(1) 在 工具 栏 中 依次 选择 View|Coloring Rules 命令 ， 打 开 着 色 规则 窗口 ， 如 图 5.5 
所 示 。 

(2) 在 该 界面 单 击 New 按钮 ， 将 显示 如 图 5.8 所 示 的 界面 。 

(3) 在 该 界面 输入 着 色 规 则 名 和 字符 串 ， 如 图 5.8 所 示 。 如 果 想 设置 背景 色 ， 则 单 击 


mS 
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Background Color 按钮 ， 将 显示 如 图 5.9 所 示 的 界面 。 


通 Wiresharikc Chocse Background color for “name” [=x™) 
医 | Hue: 0o 自 Red: |255 吉 
| satuation: |0 Green: |255 E 
Ml wiresheric Edit Color Filter - profile wireshark EL Vabe: 100 局 Bue; |255 E 
Fiter | 
ss | Coor mame: | sfFFFFF 
sm 
Display Colors 
Foreground Color-. Background color-| 。 器 Disabled 
一 一 一 ox ncel 
| 四 


图 5.8 设置 着 色 规则 


图 5.9 选择 背景 色 颜色 


(4) 在 该 界面 选择 想 要 使 用 的 背景 色 〈 本 例 中 设 为 黄色 ) ， 将 颜色 中 的 圈 指 到 使 用 的 


色 上 就 可 以 了 。 然 后 单 击 OK 按钮 ， 将 得 到 如 图 5.10 所 示 的 界面 。 


Strng: 


Dispby Colors 
Foreground Color..| 


[Background Color.. 


图 5.10 设置 背景 色 


(5) 从 该 界面 可 
Color 按钮 ， 


以 看 到 过 滤器 名 称 的 背景 色 设置 成 了 黄色 。 这 里 还 可 以 单 击 Foreground 
设置 前 景色 。 此 时 单 击 OK 按钮 ， 将 返回 到 着 色 规 则 窗口 ， 如 图 5.11 所 示 。 
必 wiresharkc Coloring Rules - profile wireshark el) 


List & processed in order unti match is found 
String 


ren | one 


Edit 


Manage 2 ld 
ICMP icmp || icempv6 
lmport.. 
ee 
Ege | = 退 


Help | 


| 


Move 
selected Mer 
up or down 


图 5.11 创建 的 着 色 规 则 
(6) 从 该 界面 可 以 看 到 ， 新 创建 的 着 色 规则 被 添加 在 着 


"126 


色 规 则 列表 的 第 一 行 。 
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5.3.2 快速 查看 FTP 用 户 名 密码 着 色 规 则 


由 于 FTP 是 使 用 明文 的 方式 传输 数据 的 ， 所 以 可 以 使 用 Wireshark 捕获 到 FTP 传输 过 
程 中 的 所 有 信息 。 通 常人 们 查看 FTP 数据 时 ， 比 较 关注 登录 的 用 户 名 和 密码 。 当 捕获 到 的 
FTP 数据 过 多 时 ， 很 难 一 下 就 可 以 找到 自己 需要 的 数据 。 这 里 可 以 通过 创建 着 色 规则 ， 快 
速 地 定位 到 FTP 的 用 户 名 和 密码 。 

【实例 5-3] 创 建 彩色 高 亮 FTP 用 户 名 、 密码 类 型 等 着 色 规则 。 具体 操作 步骤 如 下 所 示 。 

(1) 打开 ftp.pcapng 捕获 文件 。 在 该 捕获 文件 Packet List 面板 的 Info 列 中 ， 找 到 
Request:PASS symmetry 信息 ， 如 图 5.12 所 示 。 
fppcspng Wireshark1107 wLl070-g6b93lalfommasterlIl ， el) 


Ele Edt Vew Go Goture Anayze Statstics Telphony TIook Intemas Hep 
则 加 着 是 克 | 巴 外 其 包 | 六 和 宁国 守业 | 国 加 人 QI| 硬 国 风 其 | 世 


re er ory 


图 5.12 Request:PASS symmetry 信息 


(2) 从 该 界面 可 以 看 到 Request:PASS symmetry 信息 ， 保 存在 ftp.pcapng 捕获 文件 的 
93 帧 。 在 93 帧 的 Packet Details 面板 中 ， 展 开 File Transfer Protocol (FTP) 行 。 在 展开 的 
界面 有 两 个 会 话 ， 如 图 5.13 所 示 。 


hppcspng Wireshak1107 (W1107-0-g6b3lalfiommesterl1] dg [ode 


Ee Edt Yew Go Capture Anayze Statistcs Telephony Ioos jntemas Hep 
do0anlAlD 人 SIA 中 OFT| 国 国 QQQDI 国 蝎 > 


me eo oo oy > 


Time Source Destination Protocol Length Info 
93 24. 517380000 192.168.0.109 192.168.0.114 FTP 69 Request: PASS symmetry 


盏 Frame 93: 69 bytes on wire (552 bits), 69 bytes captured (552 bits) on interface 0 
Ethernet II, Src: Giga-Byt_c8:4c:89 (1c:6f:65:c8:4c:89), Dst: Vmware_02:61:71 (00:0c:29:1 
a Internet Protocol Version 4, Src: 192.168.0.109 (192.168.0.109), Dst: 192.168.0.114 (192 
四 荆 尖 本 Control Prorocol, Src Port: 15225 (15225), Dst Port: ftp (21), Seq: 11, Ack 


| PASS Symmetry\r\n 
Request command: PASS 
Request arg: symmetry 


0010 
0020 00723b 
0030 
0040 


|© | Fie Transfer Protocol (FTP) (Rp), 15 ... | Packets: 120 "Depbyed: 11 (9.2... | Profle: wreshark 


图 5.13 展开 的 会 话 


we 
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(3) 从 该 界面 可 以 看 到 两 个 会 话 ， 分 别 是 Request command 和 Request arg。 此 时 选择 
Request arg 行 单 击 右键 ， 并 选择 Colorize With FilterINew Coloring Rule 命令 ， 如 图 5.14 
所 示 。 


{Ml ftppcapng Wireshark1107 Wi107-0-g6b93lalfiommasterl10] 
He Edt View Go Capture Anayze Statistics Telephony Iook Jntemaks Hep 


回回 项 硬 区 | 巴 钙 其 包 | 以 9w 字 四 守业 | 四 加 eeQDI 硬 加 昌 ， 
mr i ee Cer soy >» 


No. Time Source Destination Protocol Length Info 
68 15.685802000 192.168.0.114 192.168.0.109 FTP 88 Response: 331 Please specit, 
93 24.517380000 192.168.0.109 192.168.0. 114 FTP 69 Request: PASS symmetry 

1 器 


田 Frame 93: 69 bytes on wire (552 bits), 69 byres captured (552 bits) on interface 0 
田 Ethernetr II, Src: Giga-Byt_c8:4c:89 (1c:6f:65:c8:4c:89), Dst: Vmware_02:61:71 (00:0c:29:1 
® Internet Protocol Version 4, Src: 192.168.0.109 (192.168.0.109), Dst: 192.168.0.114 (192 
田 Transmission Control Protocol, Src Port: 15225 (15225), Dst Port: ftp (21), Seq: 11, Ack 
日 File Transfer protocol (FTP) 
日 PASS symmetry\r\n 
Request command: PASS 


Appy 2s Fer 


法 


0000 00 0c 29 02 61 71 IC Fbwuors 
0010 00 37 78 11 40 00 80 mbes 
0020 00 72 3b 79 00 15 f2 ooo 

0030 07 f2 82 59 00 00 50 Export Selected Packat Bytes... 


图 5.14 ”新建 着 色 规则 


(4) 在 该 界面 单 击 New Coloring Rule 命令 ， 将 显示 如 图 5.15 所 示 的 界面 。 


帮 Wiresharic Coloring Rules - Profile: wireshark = % 


图 5.15 设置 着 色 规 则 


was 
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《5) 在 该 界面 将 着 色 规则 名 设置 为 S-FTP Arguments, 着 色 字符 串 设置 为 fp requestarg。 


然后 分 别 将 背景 色 和 前 景色 设置 为 红色 和 和 白色。 设置 后 ， 界 面 如 图 5.16 所 示 。 
属 wiresharkc Edit Color Fiter - Profile: wireshark ET 
FRer | 
tome 
Strng: ftp.requestarg [xpression-.] 
Display Colors Status 
[Fereground Colors)] [Background color-] Disabled 
ra 


图 5.16 背景 色 和 前 景色 设置 


(6) 从 该 界面 可 以 看 到 设置 的 背景 色 和 前 景色 。 此 时 单 击 OK 按钮 ， 将 看 到 如 图 5.17 
所 示 的 界面 。 
Wiresharkc Coloring Rules - profile wireshark [= 
Edt Fler Order 
List processed n order unti match sfound 
New | Neme String 
mw 区 
Disable 
Move 
selected 做 er 
= up or down 
Manage 
ARP arp 
Imports] | cvp imp | icmpv6 
一 i 
|_ Clear 4 站 站 
er a 


图 5.17 着 色 规则 创建 完成 


(7) 从 该 界面 可 以 看 到 S-FTP Arguments 着 色 规则 被 成 功 创建 。 此 时 就 可 以 在 捕获 文 
件 中 ， 很 快 地 识别 出 FTP 用 户 名 和 密码 的 数据 包 ， 如 图 5.18 所 示 。 
“ftppcapng [wireshark 1107 (vL107-0-g6b931al from master-110)] ET 一 > 
Hle Edt Vew Go Capture Anayze Statstcs Telephony TIoos Intemas Hep 
dA EDA 时 TE 国 aaanl ， 
Fiker ftp |Expression.. Clear » 


Protocol Length Info 


192. 168, EE 


192. 168.0. 109 105 Response: 200 PORT qd 


100 26. 149595000 192。 168. FTP 


加 


© | Fie: D:\taces\ftp.papng" 22 kB 00:... | Packets: 120... | Profile: wireshark 


图 5.18 ”识别 数据 


29s 
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《8) 从 该 界面 可 以 查看 使 用 自己 创建 的 着 色 规则 彩色 高 亮 的 包 。 
5.3.3 创建 单个 会 话 着 色 规则 


在 Wireshark 中 ， 使 用 默认 设置 捕获 到 的 数据 包 是 多 个 会 话 混杂 在 一 起 的 。 为 了 能 明 
显 地 在 Packet List 面板 中 区 分 出 每 个 会 话 的 数据 包 ， 可 以 创建 单个 会 话 着 色 规则 。 本 小 节 
将 介绍 创建 单个 会 话 着 色 规则 。 

【实例 5-4】 创 建 单个 TCP 会 话 着 色 规 则 。 有 具体 操作 步骤 如 下 所 示 。 

(1) 打开 一 个 捕获 文件 ， 名 为 http.pcapng， 如 图 5.19 所 示 。 


hppcspng Wireshark1107 Li070.66be3lalfommeserliil Eee 
Ele Edt View Go Capture Anayze Statstkcs Telephony Toos Jntemak Hep 
OOH| 电 的 次 多 | 人 外 外国 于 入 @QQDI 醒 回 蝎 其， 
Fher | [eo) pression. Gear appy 可 
INo. Time Source Destination Protocol Length Info < 
89 8.873262000 8.8.8.8 192.168.0.104 DNS 151 Standard query response Ox51c 
90 8.875356000 192.168.0.104 65.55.69.140 TCPp 66 51836 > http Seq=0 win 
91 9.164276000 65.55.69.140 192.168.0.104 TcPp 66 http > 51836 [SYN, ACK] Seq=( 
92 9.164286000 192.168.0.104 65.55.69.140 TCp 60 51836 > http Seq=l Ack= 
93 9.164287000 192.168.0.104 65.55.69. HTTP e179 GET /r/rlidwatsongc14 HTTP/1. 
94 9.222706000 192.168.0.102 255.255.255.25:UDP 508 Source port: 61935 Destinati 
95 9.295371000 192.168.0.104 192.168.0.3 TCP 60 51733 > 49155 [ACK] Seq=l Ack 
96 9.295525000 192.168.0.3 192.168.0.104 TCP 66 49155 > 51733 [ACK] Seq=l Ack 
97 9.436424000 Giga-Byt_68:24:Broadcast ARP 60 who has 192.168.0.111? Te11 
98 9.458754000 65.55.69.140 192.168.0.104 td S22 HTTP/1.1 301 Permanent] 
99 9.465789000 192.168.0.104 8.8.8.8 84 Standard query Ox8863 A offi 
100 9.510833000 8.8.8.8 192.168.0.104 号 150 srandard query response 0x88t - 
Fle: ee 132 kB 0.-. | Packets: 401 * Displayed: 40... | Profie: wreshark 


图 5.19 http.pcapng 捕获 文件 


(2) 从 该 捕获 文件 的 Packet List 面板 中 ， 可 以 看 到 各 种 彩色 高 亮 的 数据 包 。 为 了 明显 
地 区 分 出 TCP 包 ， 这 里 创建 一 个 着 色 规 则 。 在 该 界面 选择 90 帧 CTCP 握手 包 SYN) ， 单 
击 右键 将 出 现 如 图 5.20 所 示 的 界面 。 


Mark packet (toggle) 
Jonore packet (toggle) 
© Set Tme Reference (toggle) 
© Tme shft... 
六 Packet Comment... 
Manualy ResoNe Address 
Appy as Fiter » 
Prepare a Fer » 
Conversation FRer . 
Colorze Conversation "| Ethemet » 
SCTP » Pp » 
Folow TCP Stream To » Cobrl 
Folow UDP Stream UDP * | or 
Folow SSL Sveam PN-CBA Seryer 
四 Cobor3 
Copy 国 coor4 
Protocol preferences » Cobr5 
3 Decode As... Cin6 
Prnt... 下 coor7 
Show Packet n New Window Or 
下 Coor9 
Coerl0 
New Colorng Rule. 
图 5.20 菜单 栏 


ki 
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(3) 在 该 菜单 栏 中 依次 选择 Colorize Conversation|TCP|Colorl1( 桃 红色) 命令 , 将 显示 
如 图 5.21 所 示 的 界面 。 从 图 5.20 中 ， 可 以 看 到 创建 单个 会 话 着 色 规 则 ， 有 10 种 颜色 可 以 


http.pcapng [Wireshark 1.107 (v1.107-0-g6b931a1 from master-1.10)] 

Hle Edt Vew Go Capture Anayze Statstics Telephony Iook Intemas Hep 
a@#ld| 饭 多 多 | 人 外 休 量 卫生 | 四国 QaQQD 本 田 蝎 关 » 
Fiker [= ] Expression.. Clear Apply » 


192.168.0.3 


192.168.0.104 ACK. 
192.168.0.104 66 49155 > 51733 [ACK] Seq=1 Ack 


192.168.0.3 


95 9.295371000 
96 9.295525000 


图 5.21 单个 会 话 着 色 规则 


(4) 从 该 界面 可 以 看 到 一 个 TCP 会 话 使 用 了 临时 着 色 规 则 。 如 果 再 查看 下 一 个 TCP 
会 话 ， 在 捕获 文件 中 找 出 下 一 个 SYN 包 ， 右 键 单 击 数据 帧 并 选择 Colorize 
Conversation|TCPIColor2〈 可 选任 意 颜色 ) 即 可 。 

使 用 以 上 方法 创建 的 着 色 规 则 是 临时 的 。 虽 然 是 临时 的 ， 但 是 在 一 个 捕获 文件 中 应 用 
该 临时 着 色 规 则 后 ， 将 捕获 文件 关闭 并 再 次 打开 ， 该 临时 着 色 规 则 仍然 是 存在 的 。 只 有 当 
用 户 切 换 Profile、 关 闭 Wireshark 或 删除 它们 后 ， 该 临时 着 色 规则 才 失 效 。 

如 果 不 需要 使 用 这 些 临时 着 色 规则 , 可 以 在 工具 栏 中 依次 选择 View|Reset Coloring 1 一 
10 命令 删除 这 些 临 时 着 色 规 则 。 


5.4 导出 数据 包 


Wireshark 支持 多 种 导出 数据 的 方法 和 类 型 。 导 出 数据 包 , 可 以 帮助 用 户 快速 地 处 理 捕 
获 的 数据 包 。 导 出 包 时 ， 可 以 选择 保存 捕获 包 、 显 示 包 、 标 记 包 或 一 个 包 的 范围 。 本 节 将 
介绍 导出 数据 包 的 方法 。 


5.4.1 导出 显示 包 


显示 包 指 的 是 通过 使 用 显示 过 滤器 过 滤 后 的 数据 包 。 为 了 方便 以 后 使 用 ， 最 好 的 方法 
就 是 将 该 包 导出 到 一 个 新 的 捕获 文件 中 。 和 否则 ， 下 次 使 用 时 还 需要 再 次 进行 过 滤 操 作 。 下 
面 将 介绍 导出 显示 包 的 方法 。 

【实例 SS$】 导 出 显示 包 。 具 体操 作 步 骤 如 下 所 示 。 

(1) 打开 一 个 捕获 文件 ， 名 为 http.pcapng， 如 图 5.22 所 示 。 


和 二 
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[] epreeson。 Cear Appy > 


Destination Protocol 


i I 
192.168.0.102 255.255.255.25:UDP 
192.168.0.104 192.163.0.3 。 TCP 
192.163.0.104 TCP 


Info 
151 standard query response | 


60 51733 > 49155 [ACK] Seq=1 Ack 
66 49155 > 51733 [ACK] seq=1 Ac 
60 who has 192.168.0.111? Tell 


|I@ WFie: “Docttp ppng” 132 KB 0... Packets: 401 » Dipioyed: 4 


图 5.22 http.pcapng 捕 


获 文 件 


(2) 使 用 显示 过 滤器 过 滤 到 达 / 来 自 80 端口 的 所 有 数据 。 过 滤 结 果 如 图 5.23 所 示 。 


2 0.490913000 192.168.0.104 T2740.146 Tp” 


168.0.104 TCP 


192.168.t 104 61.182.140.146 TCP 


8 0. 562400000 61.182.140.146 192.168.0.104 HTTP 


9 0. 562401000 192.168.0.104 61.182.140.146 TCP 
10 0. 562653000 192.168.0.104 61.182.140.146 TCP 
11 0.583167000 61.182.140.146 192.168.0.104 TCP 
12 0. 583182000 192.168.0.104 61.182.140.146 TCP 


图 5.23 ”过滤 后 的 数据 


(3) 从 该 界面 的 状态 栏 中 ， 可 以 看 到 匹配 tcp.port==80 过 滤器 的 包 有 99 个 。 此 时 在 工 
具 栏 中 依次 选择 File|Export Specified Packets 命令 ， 将 打开 如 图 5.24 所 示 的 界面 。 


5.24 选择 导出 的 包 


二 2 
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(4) 在 该 界面 可 以 指定 捕获 文件 的 位 置 和 文件 名 。 然 后 单 击 “保存 ”按钮 。 
5.4.2 导出 标记 包 


标记 包 指 的 是 使 用 显示 过 滤 后 的 数据 中 ， 标 记 个 别 进行 导出 的 包 。 如 果 不 想 使 用 显示 
过 滤器 后 导出 数据 ， 可 以 在 选择 File|Export Specified Packets 之 前 先 标记 包 ， 然 后 导出 。 如 
果 导 出 多 个 数据 包 ， 必 须 对 每 个 包 单独 标记 。 标 记 后 的 每 个 包 ，Wireshark 默认 显示 标记 包 
的 背景 色 是 黑色 ， 前 景色 是 白色 。 下 面 介 绍 导出 标记 包 的 方法 。 

【实例 5-6】 导 出 标记 包 。 具 体操 作 步 又 如 下 所 示 。 

(1) 这 里 还 是 使 用 前 面 的 捕获 文件 http.pcapng。 

(2) 在 http.pcapng 捕获 文件 的 Packet List 面板 中 选择 第 5 个 包 。 单 击 右键 并 选择 Mark 
Packet (toggle) 命令 ， 将 显示 如 图 5.25 所 示 的 界面 。 


古 http pcapng [Wireshark 1107 (v1.107-0-95b931al from master-110)] [ET 一 > 一 
Ee Edt Vew Go Capture Anayze Statstcs Telephony Toog Intemas Hep 

ORNADSO 和 NSAP 中 OT QQQDOI » 
Fiker: |Expression.. Cear >， 


Destination Protocol Length lnfo < 
oadcasr ARP 60 who has 192.168.0. | 


50 Ftt 8 


562387000 。 51.182. .168. 60 http > 51833 [ACK] 
). 562397000 61.182. .168. 364 [TCP segment of a 
全 


.| Packets: 401 * Displayed: 401 (100.0%) * ... | Profie: wireshark 


图 5.25 标记 包 


(3) 从 该 界面 彩色 高 亮 显 示 的 包 ， 可 以 看 出 在 该 捕获 文件 中 标记 了 2、3、4、5 帧 。 
此 时 单 击 File|Export Specified Packets 命令 ， 将 显示 如 图 5.26 所 示 的 界面 。 


-Op 
修改 日 其 


2014/6/18 16:28 
2014/6/17 17:13 


a 
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(4) 在 该 界面 指定 新 创建 捕获 文件 的 位 置 和 文件 名 , 然后 选择 Market packets 或 First to 
last market。 设 置 完成 后 单 击 “ 保 存 ” 按 钮 ， 完 成 数据 导出 。 
全 注意 : 在 以 上 过 程 中 导出 的 标记 包 也 是 临时 的 。 当 在 新 捕获 文件 中 打开 捕获 的 包 时 ， 这 
些 包 将 不 被 标记 。 


5.4.3 ”导出 包 的 详细 信息 


当 需 要 写 一 个 网 络 通信 或 包 内 容 报告 时 ， 将 需要 了 解 包 的 详细 信息 。 此 时 ， 可 以 导出 
了 Packet Details 面板 中 的 详细 信息 供 分 析 。Wireshark 支持 6 种 导出 文本 格式 。 导 出 包 详细 信 
息 时 ， 可 以 导出 基于 过 滤器 的 包 或 标记 包 。 同 时 ， 也 可 以 定义 在 输出 过 程 中 应 该 包括 的 包 
信息 。 本 小 节 将 介绍 导出 包 详 细 信息 的 方法 。 

在 工具 栏 中 依次 选择 File|Export Packet Dissections 命令 ， 即 可 查看 到 导出 包 详 细 信息 
的 可 用 格式 。 可 用 的 格式 如 图 5.27 所 示 。 


「 属 hap pcapng Wireshark 1107 (v1107-0-g6b931lalfrommaster110)] [ET 一 > 一 | 
Fle Edt Vew Go Capture Anaze Statstcs Telephony Toog Intemas Hep 
四 Open... cho a EE >” 
Open Recent » 
Merge... [= ] presson- Clear » 
Jmport from Hex Dump... Protocol Length Info 
其 Cose CuhW sr ARP 60 who has 192.168.0.1117? 13| 
140.146 TCP 66 51833 > http [SYN] Seq=0 | 
四 save Cuks lp.0.104 Tcp ‘60 http > 51833 [SYN, ACK] : 
save As... Shft+cuts |140.146 TCP 60 51833 > http [ACk] seq=1 
= 140.146 HTTP ©5268 GET /pc/qqclient/sfile/ir 
Fle set » le.0.104 TcP 60 http > 51833 [ACK] Seq=1 
.0.104 TCP 364 Segment of 
Expor specfed Packets.. 二 一 二 一 一 一 一 
Export packet Dissections »| a5"pbin Text fie. | 
Export Selected Packet Bytes. CofHH a5 "PostScript” fle... 
Export SSL Session Keys... 35 "CSV" (Comma Separated Values packet summary) fie... 
Export Objects 上 a5 "C Arrays” (packet bytes) 人 ee… 
加 Prnt… Cuhp as XML - “PSML" (packet summary) file... 
35 XML - "PDML (packet detais) fie... 
ot er | 


图 5.27 选择 导出 包 格 式 


从 该 界面 可 以 看 到 Wireshark 支持 的 文本 格式 。 包 括 Plain Text、PostScript、CSV、C 
Arrays、XML-“PSML” 和 XML-“PDM”。 

此 时 ， 可 以 选择 任何 一 种 格式 来 导出 数据 。 如 选择 as"Plain Text"file， 将 弹出 如 图 5.28 
所 示 的 界面 。 

在 该 界面 指定 导出 文件 的 位 置 和 文件 名 。 在 导出 时 ， 可 以 指定 导出 的 包 范 围 和 格式 。 

【实例 S-7】 导 出 一 个 包 ， 使 用 Plain Text 格式 ， 如 下 所 示 。 

(1) 打开 捕获 文件 http pcapng， 如 图 5.29 所 示 。 

(2) 本 例 中 选择 导出 第 5 个 包 。 首 先 右键 单 击 第 5 个 包 ， 在 弹出 的 菜单 中 选择 Mark 
Packet(toggle) 命 令 。 然 后 在 工具 栏 中 依次 选择 Filel|Export Packet Dissectionslas "Plain Text" 
file 命令 ， 将 显示 如 图 5.30 所 示 的 界面 。 
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5.30 ”导出 标记 包 


汪汪 
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(3) 在 该 界面 指定 保存 文件 名 为 outtxt。 在 包 范 围 内 选择 导出 标记 包 ， 包 格式 中 选择 


Packet Details:As displayed。 然 后 单 击 “保存 ”按钮 。 


(4) 此 时 打开 out.txt 文件 ， 内 容 如 下 所 示 。 


Frame 5: 268 bytes on wire (2144 bits), 268 bytes captured (2144 bits) on 
interface 0 
Ethernet II, Src: Giga-Byt c8:4c:89 (lc:6f:65:c8:4c:89), Dst: Tp-LinkT 
{9:3c:c0 (6c e813:f9:3c:C0) 
Internet Protocol Version 4, Src: 192.168.0.104 (192.168.0.104), Dst: 
61.182.140.146 (61.182.140.146) 
Transmission Control Protocol, Src Port: 51833 (51833), Dst Port: http (80), 
Seq: 1, Ack: 1, Len: 214 
Hypertext Transfer Protocol 
GET /pc/qqclient/sfile/index.json HTTP/1.1\r\n 
Accept: */*\r\n 
If-Modified-Since: Wed, 11 Jun 2014 00:43:29 GMT\r\n 
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)\r\n 
Host: pub.idqqimg.com\r\n 
Pragma: no-cache\r\n 
\r\n 
[Full request URI: http://pub.idqqimg.com/pc/qqclient/sfile/index.json] 
[HTTP request 1/1] 
[Response in frame: 8] 


(5) 以 上 内 容 就 是 以 Plain Text 格式 导出 的 包 详 细 信 息 。 
如 果 使 用 CSV 格式 导出 ， 内 容 如 下 所 示 。 


"No.", "Time", "Source", "Destination","Protocol", "Length", "Info" 

"1","0.000000000", "Giga-Byt 0b:00:4f", "Broadcast", "ARP", "60", "Who has 
192.168:0.111? ‘Tell 192-168-0.100” 

"2 0400913000m P192- 1606800 104" "6 182. T40146" “TCP "M66" 51833°0 > 
http [SYN] Seq=0 Win=8192 Len=0 MSS=1460 WS=4 SACK PERM=1" 

a dh ee rh i es a a > 
51833 [SYN, ACK] Seq=0 Ack=1 Win=14600 Len=0 MSS=1440" 

ed eh :li ee Ee El: a Ts a 
http [ACK] Seq=1 Ack=1 Win=64800 Len=0" 

a el, eh OU GE 
/pc/qqclient/sfile/index.json HTTP/1.1 " 

MS OS ol LA Lar Et > 
51833 [ACK] Seq=1 Ack=215 Win=15008 Len=0" 

Bh le hi ee el ek ek 1 和 玫 下 全 玉芝 二 车 村 丰 是 呈 丰 于 让 于 人 下 
Segment of a reassembled PDU]" 

Mo OS62A00000% "M61102 LA0 L460" "A023168 0 010 rTP 20 TTPAL 
.1 200 OK (application/octet-stream)" 

om 0 562301000 "L192 16000 104m "OL 10210 AG" "TEP 0 S13 > 
http [ACK] Seq=215 Ack=583 Win=64218 Len=0" 

som O0053000n Ilo TOA Ol LD LA LUA "Tep OO 
http [FIN, ACK] Seq=215 Ack=583 Win=64218 Len=0" 


【实例 5-8】 导 出 HTTP Host 字段 值 。 具 体操 作 步 又 如 下 所 示 。 
(1) 获取 捕获 文件 。 本 例 中 指定 捕获 文件 名 为 http-hostfield.pcapng， 选 择 响应 的 接口 。 


然后 开始 捕获 ， 捕 获 内 容 如 图 5.31 所 示 。 


(2) 从 该 界面 可 以 看 到 捕获 的 数据 包 。 但 是 要 想 导 出 Host 字段 值 ， 需 要 查看 Host 列 。 


这 归 


有 还 没有 添加 Host 列 , 使 用 前 面 介绍 过 的 添加 列 的 方法 添加 Host 列 。 然 后 使 用 http-host 


过 滤器 ， 过 滤 包含 Host 字段 的 包 ， 如 图 5.32 所 示 。 


(3) 从 该 界面 可 以 看 到 添加 的 Host 列 。 此 时 在 工具 栏 中 依次 选择 File|Export Specified 
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Packetslas"CSV"(Comma Separated Values packet summary)file... 命 令 , 将 弹出 如 图 5.33 所 示 
的 界面 。 


Ee Edt Vew Go Capture Anayze Statstcs Telephony Took krtemas Hep | 
局 加 而 古 荐 | 世人 其 多 信和 宁 呈 开业 | 
Fer 


Time Source Destination Protocol Length Info i 


125 2.408131000 © 192.168.0.103 74.125.23.95 TCP 66 iwb-whiteboar 


127 2.412011000 192.168.0.1 192.168.0.103 DNS 130 standard quer 


oO 
I® | Fie: "D:\traces\nttp-hostfied.pcapng"... [Pack... [Profie: Defau 


图 5.31 ”http-hostfield.pcapng 捕获 文件 


Ele Edt Vew Go Captue AmVre Sratetes Telephory Toos rtemas Hep 
04nd 外 SAT 回国 QQQOI » 


ma oo ow py sme 
o. Time 


图 5.33 保存 CSV 文 件 
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(4) 这 里 将 导出 的 文件 , 保存 为 hostinformation.csv。 在 包 格 式 中 , 只 选择 Packet summary 
line。 然 后 单 击 “ 保 存 ” 按 钮 ， 保 存 成 功 。 
(5) 使 用 电子 表格 程序 打开 保存 的 文件 (如 Excel) 。 为 了 能 查看 捕获 文件 中 所 有 的 
Host 字段 值 ， 在 Excel 中 对 Host 列 进行 排序 ， 显 示 界 面 如 图 5.34 所 示 。 


| 四 Be 公国 了 < ET Se 3 
a ew eR ee 组 2%cs 


有 再 
[| 
[4| 
[| 
[6 | 
| 7 44 
| 8 44 
[9 | 
[10 
[1 
| 12 
Et 
[14) 
| 15 | 
[16 
[17 | 
CERIO 


postint ernation A 
TT Om 和 


图 5.34 CSV 捕获 文件 
(6) 从 该 界面 可 以 看 到 整个 捕获 文件 中 所 有 的 Host 字段 值 。 
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在 前 面 的 章节 中 ， 我 们 通过 抓 包 过 滤器 、 显 示 过 滤器 和 着 色 规 则 来 减少 数据 ， 以 便于 
分 析 。 但 是 纯 文 本 类 的 数据 ， 还 是 非常 枯燥 和 不 方便 分 析 ， 尤 其 是 非 专业 人 员 。 而 图 表 可 
以 很 方便 地 展现 数据 分 布 、 比 重 等 方面 。 本 章 将 讲解 如 何 将 数据 进行 图 表 化 。 


6.1 数据 统计 表 


在 前 面 章节 ， 我 们 处 理 的 数据 都 是 单一 条 目的 。 这 些 数据 可 以 展现 通信 的 细节 ， 但 是 
无 法 展现 数据 的 整体 情况 。 为 了 方便 用 户 使 用 ，WireShark 提供 了 一 些 常 用 的 统计 功能 。 
下 面 将 详细 讲解 几 个 常用 的 统计 。 


6.1.1 端点 统计 


端点 是 指 网 络 上 能 够 发 送 或 者 接收 数据 的 一 台 设 备 。 例 如 ， 在 TCP/IP 的 通信 中 就 有 
两 个 端点 ， 分 别 是 接收 〈192.168.1.100) 和 发 送 〈192.168.1.200) 数据 的 IP 地 址 。 这 里 的 
192.168.1.100 和 192.168.1.200 就 是 两 个 端点 ， 如 图 6.1 所 示 。 


A 
端点 国 一 一 加 端点 B 


192.168.1.100 192.168.1.200 
图 6.1 人 ?地址 端点 
在 数据 链 路 层 ， 通 信和 是 基于 两 台 物理 网 卡 和 它们 的 MAC 地 址 进行 的 。 如 果 接 收 和 发 
送 数据 的 地 址 是 11:11:11:11:11:11 和 22:22:22:22:22:22， 则 这 两 个 地 址 就 是 通信 中 的 端点 ， 
如 图 6.2 所 示 。 


端点 B 


Me de Ti Te 22:22 2 22 
图 6.2 MAC 地 址 端点 


在 分 析 数 据 流量 时 ， 可 以 将 问题 定位 到 网 络 中 的 一 个 特定 端点 上 。 Wireshark 的 
Endpoints 窗口 显示 每 一 端点 中 有 用 的 统计 数据 ,包括 每 个 端点 的 地 址 、 传 输 发 送 数据 包 的 
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数量 和 字 节 数 。 


【实例 6-1】 下 面 查看 端点 的 统计 信息 。 在 工具 栏 中 , 依次 选择 Statistics|Endpoints 命令 ， 


将 显示 端点 对 话 框 ， 


如 图 6.3 所 示 。 


A Endpoints: http.pcapng 


Ghent 17 IAA 


Ethemet Endponts 


Address 4 Packets 4 Bytes 4 Tx Packets 4 Tx Bytes 4 Rx Packets Rx Bytes 
59 9550 0 0 加 
295 99103 18 25229 147 
es 141 75173 34 68826 4 
Giga-By_68:24:58 45 3246 45 3246 9 
Ipvémcast ffbclc16 21 1806 0 0 a 
i 7.9a 81 17104 7 10852 34 
ke7:48 4 ao 4 240 o 
Leb57xcf 59 12625 29 4232 30 
QuantaCo_dL15ab 38 7571 21 4205 JI 
Giga-Byt_19:5e:56 4 240 4 240 0 
To-tinkT acfb221 1 名 1 60 0 


园 Name 


resolution El Limit to display fiter 


Help Vap 


图 6.3 端点 对 话 框 


在 该 窗口 顶部 的 选项 卡 中 ， 显 示 了 当前 捕获 文件 中 所 有 被 支持 和 识别 的 端点 ， 并 且 每 
个 选项 卡 显示 不 同 的 协议 。 如果 某 个 协议 没有 端点 统计 信息 , 则 该 选项 卡 标签 显示 为 灰色 。 
这 里 以 Ethemet 协议 为 例 ， 介 绍 在 该 协议 下 的 每 列 含 义 ， 如 下 所 示 。 


Tx Bytes: 表 


OOOOOODO 


Address: 表示 端点 的 地 址 。 

Packets: 表示 在 捕获 文件 中 包含 该 地 址 的 包 数 。 
Bytes: 表示 包 的 字 节 数据 。 

Tx Packets: 表示 发 送 的 数据 包 数 。 


示 发 送 包 的 字 节 数 。 


Rx Packets: 表示 接收 的 数据 包 数 。 
Rx Bytes: 表示 接收 的 字 节 数 。 


在 端点 对 话 框 中 ， 可 以 通过 排序 Bytes 和 Tx Bytes 列 来 判断 占用 带宽 最 大 的 主机 。 在 
图 6.3 中 选择 IPv4 或 IPv6 选项 卡 ， 单 击 两 次 Bytes 列 ， 该 列 将 由 高 到 低 排序 ， 如 图 6.4 所 示 。 


Tersrrrsa ii 上 反 基 硬 
Ethemet: 17[ Fibre Channe | FDD1| Ipv4: 17 | pv6:8| px [xTa[ Np [rsvp| scTP] Tep: 12| Token Rno| upp:45] se | Wea 
Ipvs Endponts 
Address 4 Packets 4 Bytes™ Tx Packets 4 Tx Bytes 4 Rx Packets 4 Rx Bytes 4 Latitude 4 Longitude 4 区 
192.168.0104 124 67091 59 7557 65 59534 - 
65.55.227.140 59 55548 39 54175 20 1373 
192.16801 27 9708 27 9708 0 0 
239.255.255.250 26 9118 0 26 gus 
255.255.255.255 15 5945 o 0 15 5945 
192.168.0.106 12 4587 12 4587 0 0 下 
112.65.208.58 16 3731 8 890 8 2841 
1244041.6 7 1956 3 1445 4 511 
61182140146 11 1444 台 870 6 574 
1921680102 3 1259 3 1259 0 0 
65.55.69140 6 953 2 588 4 365 
192.168.0255 7 795 0 0 7 795 
B888 6 720 3 474 3 246 
Name resolution EE] Limitto display fiter 
Help |[ copy |[ Map Close 
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图 6.4 排序 Bytes 列 
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从 该 界面 可 以 看 到 Bytes 列 由 高 到 低 排序 。 由 此 ， 可 以 判断 出 占用 带宽 最 大 的 主机 是 
192.168.0.104。 如 果 想 要 查看 在 该 网 络 内 发 送 数 据 包 最 多 的 主机 ， 对 Tx Bytes 列 由 高 到 低 
排序 即 可 。 


6.1.2 网络 会 话 统计 


网 络 中 的 一 个 会 话 就 和 两 个 人 之 间 的 谈话 一 样 ， 指 的 是 两 台 主 机 间 进 行 的 通信 。 如 图 
6.1 所 示 ， 表 示 端 点 A (192.168.1.100) 和 端点 了 B (192.168.1.200) 之 间 的 一 个 会 话 。 它 们 
之 间 的 会 话 内 容 可 能 是 这 样 的 : SYN、SYN/ACK、ACK。 下 面 将 介绍 查看 网 络 会 话 的 方法 。 

【实例 6-2】 下 面 查看 网 络 会 话 统计 信息 。 在 工具 栏 中 依次 选择 Statistics|Conversations 
命令 ， 将 显示 会 话 对 话 框 ， 如 图 6.5 所 示 。 


[Ethemet: 20| Fbre channe | Fooj mw4: 17 [PPv6:7[ px[3xTA|Mcp[Rsvp[scTp[ Top: 6| Token Rng| upp:32[use[ wuan 
Jpv4 Conversations 
Address A 4 AddressB 4 Packets 4 Bytes 4 Packets A 一 8 4 Bytes A 一 8 4 Packets AB 4 Bytes AB 4 Rel Start 


111.161.88.76 192.168.0.104 3 291 要 210 1 81 3.87717]| 
8.8.8.8 192.168.0.104 6 720 3 474 3 246 8.82838; 写 
65.55.69.140 192.168.0.104 6 953 2 588 4 365 8.87535¢ 
192.168,0.102 255.255.255.255 2 1016 2 1016 0 0 9.22270¢ | 
192.168.0.3 192.168.0.104 2 126 和 66 1 60 9.295371 
65.55.227.140 = 192.168.0.104 59 55548 39 54 175 20 1373 9.512245 
192.168.0.102 192.168.0.255 1 243 有 243 0 0 13.79827( | 
192.168.0.1 239.255.255.250 26 9118 6 9 118 0 0 15.726665 
199468040% 255.255.255.255 本 342 于 342 0 0 15.916971 ™ | 
‘ 到 


J 


Name resolution EF] Limitto display flter 


Help Copy Follow Stream Graph A—B Graph B—A 


图 6.5 会 话 对 话 框 


该 窗口 中 列 出 的 会 话 以 不 同 的 协议 分 布 在 不 同 的 选项 卡 中 ， 通 过 顶部 的 选项 卡 就 可 以 
切换 。 在 该 对 话 框 中 ， 还 可 以 通过 单 击 每 列 的 小 三 角 对 列 信 息 进行 排序 。 右 击 一 个 会 话 ， 
还 可 以 创建 过 滤器 。 例如， 显示 由 设备 A 发 出 的 所 有 流量 、 设 备 B 收 到 的 所 有 流量 , 或 者 
设备 A 和 设备 B 之 间 所 有 的 通信 流量 。 

例如 , 排序 TCP 协议 中 的 Bytes 列 。 使 用 鼠标 切换 到 TCP 选项 卡 , 然后 单 击 Bytes A-B 
后 的 小 三 角 ， 将 显示 如 图 6.6 所 示 的 界面 。 


A Conversations: httppcapna 
Ethemet: 20 | Fbre channe | FnDI| ipv4: 17| IpvG: 7 JPX[JXTA[Ncp sve scp| Ta: e [Token pinc| vop: 32[ Use| wua| 
Ta Converstions 
AddressA + PortA + AddressB + PortB + Packets + Byres + PacketsA-B + BytesA—3 ~ PacketsA~B 4 EytesA™B 4 RelStart + Duration + bpsA—B + bpsA~B + ~ 
192168.0.104 51733 。 192.1680.3 49155 2 i125 1 60 66 9295371000 。 00002 NA Na 
1924680.104 51835 65.5569149 。 hmp 6 953 4 365 2 588 8875356000 。 07870 371047 。 597741| 
192168.0.4104 51843 12440.41.6 。 hap 7 1956 4 511 3 1445 30.268777000 。 04794 852715 2411297 
192168.0.104 51833 。 61.162.140446 hap 1 14aa 6 574 国 570 0490913000 00923 49767.53 7543162 
192.468.0.104 51837 。 65.55227.140 hap 59 55548 20 1373 39 54175 9512249000 G1836 。 177632 。 70089.04 
a 再 J 
回 Name recolution EE] Limitto display fiter 
[ESeea] [earhtatal (ecobites)] tes 


图 6.6 TCP 协议 
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从 该 界面 可 以 看 到 TCP 协议 中 的 所 有 会 话 ， 包 括 地 址 A、 端 口 A、 地 址 B 和 端口 B 
等 。 其 中 ，Bytes 列 由 低 到 高 进行 排序 。Rel Start 时 间 列 表示 在 捕获 文件 中 启动 的 时 间 。 
Duration 列表 示 在 捕获 文件 中 会 话 的 持续 时 间 ， 即 第 一 个 包 到 最 后 一 个 包 之 间 的 时 间 。 

在 会 话 窗口 中 也 可 以 通过 Bytes 列 排序 找 出 最 活跃 的 会 话 ， 进 而 判断 占用 带宽 最 大 的 
主机 。 在 会 话 窗口 选择 IPv4 或 IPv6 选项 卡 ， 并 单 击 两 次 Bytes 列 。 单 击 后 该 列 将 由 高 到 
低 排序 ， 如 图 6.7 所 示 。 


[coreriorrrme lol) 


Ehemet: 20 | Fbre ranne | FDD)| mw: 17 [Ipv6: 7 wx [xTA [cp rsvp [ScrP| Tep: 6| Token Rno] vop: 32[ vse[ Wan 
JPv4 Conversations 
Address A 4 AddressB + Packets ‘JEes sackets A—B « Bytes A—B « Packets A~8 « BytesA~B 4 RelSta ~ 
192.168.0.1 239.255.255.250 E 26 9 118 0 0 15.726, 
192.168.0.106 ©255.255.255.255 1 12 4 587 0 0 31.650| 
112.65.208.58 192.168.0.104 14 8 890 8 2 841 26.805 a 
1244041.6 192.168.0.104 3 1445 4 S11 30.268 
61.182.140.146 192.168.0.104 1 5 870 6 574 0490| 
192.168.0.102 255.255.255.255 2 1016 0 0 9222 
65.55.69140 。 192.168.0.104 2 588 4 365 8.875L 
8.888 192.168.0.104 3 474 3 246 8828 
1921680.1 。 192.1680104 1 590 0 0 15.929 
101.226.11.125 192.168.0.104 1 226 1 356 26.757 
192.168.0.104 192.168.0.255 6 552 0 0 16226 ~ 
4 


园 Name resolution ELimit to display fiter 


Help | Copy ] Follow Strea Graph A—B Graph B—A 


图 6.7 排序 Bytes 列 


从 该 界面 可 以 看 到 Bytes 列 由 高 到 低 排序 。 然 后 右 击 最 项 部 的 会 话 行 ， 使 用 应 用 过 滤 
器 或 准备 过 滤器 查找 该 会 话 的 包 ， 进 而 判断 出 占用 带宽 最 大 的 主机 。 


6.1.3 快速 过 滤 会 话 

在 会 话 对 话 框 中 可 以 看 到 数据 的 统计 信息 ， 但 是 无 法 看 到 包 的 详细 信息 。 这 时 ， 可 以 
使 用 快速 过 滤 功 能 ， 查 看 对 应 的 数据 包 。 打 开会 话 对 话 框 ， 如 图 6.8 所 示 。 
A es 


Ethemet: 20 | Fbre channe | F001| pv4: 17[ pv6: 7| 1px [xT [Mcp | Rsvp| scTP| Tcp:6[Token rng upp: 32[ vse[ wuan 


TCP Conversations 
Address A 4 PortA 4 AddressB 4 PortB 4 Packets 4 Bytes 4 Packets A—B 4 Bytes A—B 4 Packets A 二 B 4 Byte ~ 


192.168.0.104 51: 
192.168.0.104 51 


19: 
4 


Name resolution ©] Limit to display fiter 


Help Copy Follow Stream | 


图 6.8 快速 过 滤 会 话 
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在 该 界面 中 ，“A” 表 示 包 含 “A” 名 称 的 任何 列 ; “B” 表 示 包 含 “B” 名 称 的 任何 
列 。 例 如 ， 如 果 选 择 IPv4 选项 卡 ， 可 以 查看 到 AddressA 和 AddressB。 如 果 选 择 TCP 或 
UDP 选项 卡 ， 可 以 看 到 AddressA、Port A 和 AddressB、 了 PortB 。 

如 果 要 过 滤 会 话 , 在 会 话 窗口 中 选择 任何 一 个 统计 条 目 并 右 击 , 将 会 看 到 一 个 菜单 栏 ， 
如 图 6.8 所 示 。 在 该 菜单 栏 中 可 以 看 到 有 4 种 过 滤 方 式 ， 分 别 是 应 用 过 滤器 、 准 备 过 滤器 、 
查找 包 和 着 色 会 话 。 这 4 种 方式 含义 如 下 所 示 。 

口 应 用 过 滤器 : 使 用 这 种 方式 ， 可 以 直接 将 数据 过 滤 显 示 。 

口 准备 过 滤器 : 使 用 该 方式 不 会 将 过 滤 数 据 显示 ， 只 是 将 显示 过 滤器 添加 到 显示 过 

滤器 区 域 ， 需 要 单 击 Apply 按钮 后 ， 才 可 以 显示 过 滤 数 据 。 

口 查找 包 : 通过 查找 的 方式 ， 可 以 快速 地 定位 到 某 个 数据 包 。 

口 着 色 会 话 : 将 要 过 滤 的 会 话 着 色 后 显示 。 

使 用 这 4 种 方式 过 滤 会 话 时 ， 可 以 选择 以 下 过 滤 条 件 。 有 具体 含义 如 下 所 示 。 

A<->B: 过 滤 显 示 地 址 A 与 地 址 B 之 问 通信 的 数据 。 
A->B: 过 滤 显示 地 址 A 发 送 给 地 址 B 的 数据 。 

A<-B: 过 滤 显 示 地 址 B 发 送 给 地 址 A 的 数据 。 
A<->Any: 过 滤 显示 地 址 A 与 其 他 地 址 间 的 所 有 数据 。 
A->Any: 过 滤 显 示 地 址 A 发 送 的 所 有 数据 。 

A<-Any: 过 滤 显 示 发 送 到 A 的 所 有 数据 。 

Any<->B: 过 滤 显 示 任 何 主机 与 B 之 间 通 信 的 数据 。 
Any<-B: 过 滤 显 示 B 发 送 的 所 有 数据 。 

Any->B: 过 滤 显 示 发 送 给 地 址 B 的 所 有 数据 。 

【实例 6-3】 使 用 快速 过 滤 的 方式 过 滤 显示 数据 。 有 具体 操作 步骤 如 下 所 示 。 

(1) 打开 捕获 文件 http .pcapng。 

(2) 在 该 捕获 文件 的 工具 栏 中 依次 选择 Statistics|Conversations 命令 ， 打 开会 话 窗口 ， 
如 图 6.9 所 示 。 


DDOQDOQ0DQ9o 


A Conversations: http.pcapng 要 

[Ethemet: 20|Fbre channe| Fpoij| pv4: 17[ pv6: 7 | 1px [3xTA[ NcP | rsvp| scTp| Tcp:6[ Token Rno[upp:3z[use[ wuan| 
Ethemet Conversations 

Address A 4 Address B 4 Packets 4 Bytes 4 Packets A—+B 4 Bytes A—+B 4 Packets AB 4 BytesA ~ 
Giga-Byt Ob:00:4f Broadcast 4 240 4 240 0 医 
Giga-Byt_c8:4c89 Tp-LinkT_f9:3c:c0 115 66 055 47 6347 68 引 

| | pvemcastffbelc16 Giga-Byt.68.24:58 21 1806 0 0 21 和 
Giga-Byt_c8:4c89 Giga-Byt_17:d7:9a 68 12360 34 6252 34 

| | Giga-Byt 9d:e7:48 Broadcast 4 240 4 240 0 

| Giga-Byt cB:4c:89 Giga-Byt eb:57;cf 58 12565 30 8393 28 

| | Giga-Bytc84c89 。 Quantaco_dl15ab 34 6252 17 3 366 17 

|| | Giga-Byt 68:24:58 Broadcast 24 1440 24 1440 0 

| | Giga-Byt eb:57:cf Broadcast 1 60 1 60 0 

| Giga-Byt_19:5e:66 Broadcast 4 240 4 240 0 网 

改 一 一 一 一 一 = 季 Se 

| 加 Name resolution 回 Limitto display fiter 

| a Folow Stream | [ Groph a6 | [ Groph Bh 


图 6.9 会 话 窗口 
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(3) 在 该 界面 选择 第 一 个 包 ， 使 用 应 用 过 滤器 过 滤 地 址 A (Giga-Byt_0b:00:4f) 和 地 
址 B (Broadcast) 之 间 通 信 的 数据 ， 如 图 6.10 所 示 。 


omersatonshttppapng 5 


Ethemet: 20 |Ebre Channe [Fo0)| pv4: 17[ pv6: 7| 1px [3x7a [nce [ Rsvp] scrp| Ton: 6. Toren Ring [uop: 32[ use[ wan 
Ethemet Conversations 
Address A 4 Address B 4 packets 4 Bytes 4 Packets A—B 4 BytesA—B 4 Packets AB 4 BytesA ~ 


Giga-Bytc8 | 68 
IPv6mcastf Find packet ， .andSelected » 21 E 
ora Colorze Conversation | or Selected 上 34 
Giga-Byt 9dE798 一 一 6550 and not Selected 0 
Giga-Byt_c8:4c89 Giga-Byt eb:57:cf _ or not Selected » 28 
Giga-Byt_c8:4c89 QuantaCodl:l5ab 3 6557 1 17 
Giga-Byt 68:24:58 Broadcast 24 1440 24 0 
Giga-Byt eb:57:cf Broadcast 1 6 1 0 
Giga-Byt 19:5e:66 Broadcast 4 240 4 0 上 
i 2 a a 


“| UI | ' 


园 Name resolution 回 Limit to display fiker 


i i Folow sueam | [ oraph A | [Graph eA 


图 6.10 选择 过 滤 方 式 


(4) 在 该 界面 依次 选择 Apply as Filter|Selected|A<->B 选项 。 返回 到 Wireshark 的 界面 ， 
将 看 到 如 图 6.11 所 示 的 界面 。 


“ @ happcapng [wireshak1107 (v1.10.7-0-96b931a1 from master110] 


| ) i 

| 394 38. 022776000 G6 te ‘Byt_0b:00: 4 
396 39.003724000 Giga-Byt_0b:00:4f Broadcast ARP 

400 40.002090000 Giga-Byt_0b:00:4 Broadcast ARP 

| 再 ] 

@ | Fie: “D:\traces\ht... | Packets: 401 * Displayed: 4 (1.0%) * Load time: 0:00.010 | Profie: Defaukt 

A -一 一 


图 6.11 过 滤 的 数据 包 


(5) 从 该 界面 的 状态 栏 中 可 以 看 到 有 4 个 包 匹 配 上 面 的 过 滤器 。 在 会 话 窗口 中 使 用 的 
过 滤器 条 件 ， 自 动 地 添加 到 了 显示 过 滤器 区 域 。 


6.1.4 地 图 化 显示 端点 统计 信息 


当 有 端点 统计 数据 后 ,分 析 人 员 可 以 借助 MaxMind GeoLite 数据 库 将 人 P 地 址 转化 为 地 
理 位 置信 息 ， 从 而 将 抽象 的 他 信息 转化 为 地 图 信息 。 下 面 演示 一 个 例子 ， 将 Wireshark 配 
置 使 用 MaxMind GeoLite 数据 库 定位 到 一 个 地 图 上 。 

【实例 6-4】 下 面 将 把 抓 取 的 数据 包 文件 中 的 他 信息 显示 在 地 图 上 。 有 具体 操作 步骤 如 下 
所 示 。 
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(1) 打开 捕获 文件 http pcapng。 

(2) 在 http:/www.maxmind.com 网 站 上 下 载 免费 的 GeoLite 数据 库 文 件 ， 名 称 为 
GeoLiteCity.dat。 该 文件 包含 了 卫 归属 地 信息 。 

(3) 启用 GeoIP 功能 。 在 本 地 磁盘 上 创建 一 个 maxmind 目录 ， 并 且 把 下 载 的 
GeoLiteCity.dat 文件 放 在 该 目录 中 。 然 后 选择 Edit|Preferences|Name Resolution 命令 ， 将 显 
示 如 图 6.12 所 示 的 界面 。 


Ml Wiresharkc Preferences - Profile: Default -i 三 = 
User Interface 
ResoNe MAC addresses:。 冉 
Columns Resoe transport names: 团 
Font and Colors Resoe network (IP) addresses。 
Capture ee 
ee Use an exteral network “加 
Enable concurrent DNS name resoution: ” 回 
printing Maxmum concurrent requests 500 日 
田 Protocols | 
Se Ony use the profle "hosts fle: 站 
Enable OID resoltion: 
Suppress SMI erors 器] 
SMI (MIB and PIB) paths | Ed 
SMI (MIB and PIB) modules | Ed 
‘Geolp database drectones: | 5 = 
[Eee Ce goree | 


图 6.12 首选 项 窗口 


(4) 在 该 界面 中 ， 单 击 GeoIP Database Directories 后 面 的 Edit 按钮 ， 将 显示 如 图 6.13 
所 示 的 界面 。 


Ml Geclp Database Paths - Profile: Default Lo © 


Geolp Database Directory 


Cup |] ok ]( oppy | [cone ] 


图 6.13 ”GeolIP Database Paths 窗口 


(5) 在 该 界面 单 击 New 按钮 ， 选 择 maxmind 目录 。 然 后 单 击 OK 按钮 ， 关 闭 GeoIP 
Database Paths 窗口 。 

(6) 重启 Wireshark, 使 GeoIP 信息 生效 。 然 后 在 工具 栏 中 依次 选择 Statistics|Endpoints 
命令 ， 打 开 如 图 6.14 所 示 的 界面 。 
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hm ee 
[Ethemes: 13 |Fbre cranne [ FpD!| Ipv4: 17| pv6: 8[ x IxTA [ Mcp[ rsvp [scp | Te: 12| Token Rna| uop: 45[ usa[ WAN 
Ethemet Endponts 
Address 4 Packets « Bytes 4 Tx Packets « Tx Bytes « Rx Packets 4 Rx Bytes 4 
Giga-Byt Ob:00:4f 4 240 4 240 0 0 
Broadcast 69 9560 0 0 69 9560 
Giga-Byt ca4c89 295 99 103 148 26229 147 72 874 
Tp-UinkT fo:3cc0 141 75173 $4 68826 47 6347 
Giga-Byt_68:24:58 45 3246 45 3246 0 0 
Jpv6mcast ff.be:1c:16 21 1806 0 0 21 1806 
Giga-Byt_17:d7:98 81 17104 7 10852 34 6252 
Giga-Byt_ 9die7:48 4 240 4 240 o 0 
‘Giga-Byt_eb:57:cf 59 12625 2 4232 30 8393 
QuantaCo dl:15:ab 38 7571 2 4205 17 3366 
Giga-Byt 19:5e:56 4 240 4 240 0 0 
Tp-UinkT_acfb:21 1 6 1 60 0 0 
Giga-Byt.00.7a:c8 4 240 4 240 0 0 
Ovameact TH IF oa n n ax aa 
园 Name resolution 目 Umit to display fiker 
tp ESea[ wv | Ceee 


(7) 在 该 界面 选择 IPv4 选 项 卡 , 从 中 可 以 看 到 添加 了 Country、City、Latitude 和 Longitude 


图 6.14 端点 窗口 


儿 列 信息 ， 如 图 6.15 所 示 。 


Exhemet: 17 [Fbre Cnanne [FD0)| (wv: 17 pve: 8 | px| JxTa [cp [Rsy?| sc? | Top: 12| Token Rng [Uop: 45[ usa | wuan 


ddress 
.92.168.0104 


11161.8876 
1888 
15.55.69.140 
92.168.0.102 


92.168.03 
35.55.227.140 
92.168.0255 
92.168.01 


1 


.182.140146 


55.255.255255 


153955255250 


Jpw4 Endponts 
Packets « Eytes 4 Tx Packets « Tx Bytes « Rx Packets « Rx Byes 小 。 a 

124 67 091 59 7557 55 595 

1 144 5 870 6 

3 291 2 210 1 

6 720 3 474 3 

6 953 2 588 4 36$United States Redmond, WA 47.680099 -122.12059 

3 1259 3 1259 0 dq- - - 

5 5945 9 0 15 

2 126 1 6 1 

59 55 543 39 54175 20 

时 795 0 0 7 

27 9708 27 9708 0 

26 os o o 26 3 


@ Name resolution El] Limit to display fiker 


Help 


Se | [ Mop Ce 


图 6.15 添加 的 列 


(8) 此 时 单 击 Map 按钮 ， 即 可 将 所 有 数据 包 定位 在 一 个 地 图 上 ， 如 图 6.16 所 示 。 
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108.161.187.19 


Country: United States 
City: Studio City, CA 

Packets: 12 

Bytes: 700 


图 6.16 定位 下 地 址 
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(9) 在 该 界面 中 的 每 个 襄 图 标 表示 一 个 端点 统计 条 目 。 单 击 该 图 标 ， 即 可 看 到 该 条 目 
JP 地址 对 应 的 国家 、 城 市 、 包 数 和 字 节 数 。 


6.2 ”协议 分 层 统 计 


由 于 很 多 协议 具有 多 层 结 构 ，WireShark 为 了 方便 用 户 分 析 ， 提 供 了 协议 分 层 统计 功 
能 一 一 Protocol Hierarchy 对 话 框 。 该 对 话 框 显示 了 捕获 包 的 分 层 统计 信息 。 用 户 可 以 在 
Protocol Hierarchy 对 话 框 中 查找 可 疑 的 协议 、 应 用 程序 或 数据 。 例 如 ， 当 用 户 发 现 一 个 主 
机 可 能 存在 危险 时 ， 可 以 使 用 该 对 话 框 查看 。 该 对 话 框 可 以 帮助 用 户 识别 不 正常 的 网 络 应 
用 程序 ， 如 TCP 下 的 DCE/RPC 数据 、IRC 数据 或 TFTP 数据 等 。 
在 工具 栏 中 依次 选择 Statistics|Protocol Hierarchy 命令 ,打开 Protocol Hierarchy 对 话 框 ， 
如 图 6.17 所 示 。 


Wireshark: Protocol Hierarchy Statistics IEEYTIEI 
Display fer: none 
Protocol % packets Packets% Bytes Bytes Mbit/sEnd PacketsEnd BytesEnd Mbit/s ~ 
日 Ethernet 401 118610 0024 0 0 0000 
Address Resolution protocol E72% 51f 258% 3060 0001 51 3060 。 0001 
日 Internet Protocol Version 4 Ws* 16; WFR 82055 006 0 0 0000 上 
日 Transmission Control Protocol 3 90 58483 。 0012 
日 Hypertext Transfer protocol 249% 10[ 440% 5215 0001 5 1503 0.000 
Media Type 050% 2 15% 1820 0000 2 1820 。 0000 
MIME Mukipart Media Encapsulation 025% 1 055% 109 0000 1 109 0000 
Line-based text data 025% 1 三 539% 464 0000 1 464 0000 
Text item 025% 1 ii% 1319 0000 1 1319 0000 
Data 025% 1[ 005% 60 0000 1 60 0000 
日 User Datagram Protocol is cls3% 18297 ooo4 0 0 0000 
OICQ - IM software, popular in China To75% 3[ 025% 291 0.000 3 291 -0.000 
日 Domain Name Service 299% 12[ 夏 131% 1558 0000 10 976 0000 
Malformed Packet 050% 2 049% 582 0000 2 582 0000 _ 


图 6.17 Protocol Hierarchy 窗口 


在 该 对 话 框 显示 了 捕获 文件 中 包含 的 所 有 协议 的 树 状 分 支 。 用户 可 以 通过 单 击 +/- 图 标 
展开 或 折合 分 支 。 默 认 情 况 下 ， 所 有 分 支 都 是 展开 的 。 在 该 对 话 框 中 ， 每 行 包 含 一 个 协议 
层次 的 统计 值 。 每 列 代表 的 含义 如 下 所 示 。 

Protocol: 表示 协议 名 称 。 

%Packets: 含有 该 协议 的 包 数 目 在 捕获 文件 所 有 包 中 所 占 的 比例 。 

Packets: 含有 该 协议 的 包 的 数目 。 

%Bytes: 含有 该 协议 的 字 节 数 在 捕获 文件 所 有 字 节 中 所 占 的 比例 。 

Bytes: 含有 该 协议 的 字 节 数 。 

MBit/s: 该 协议 的 带宽 ， 相 对 捕获 时 间 End Packets、End Bytes 和 End MBit/s。 


悍 -日 日 日 日 日 


全 注意 : 在 该 对 话 框 中 ，%Packets 和 %Bytes 列 的 值 可 能 混淆 。 这 两 列 的 百分比 指 的 是 占 
总 数 的 百分比 ， 与 层次 结构 无 关 。 
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由 于 Protocol Hierarchy 对 话 框 是 以 层次 结构 列 出 的 ， 所 以 不 能 像 会 话 对 话 框 和 端口 对 
话 框 一 样 进 行 排序 。 但 是 该 层次 结构 也 可 以 快速 地 过 滤 数 据 类 型 ， 右 击 任意 一 行 ， 将 会 显 
示 一 个 过 滤 菜 单 。 该 菜单 中 包括 Apply as Filter、Prepare a Filter、Find Frame 和 Colorize 
Procedure 4 种 过 滤 方 式 。 


6.3 图 表 化 显示 带宽 使 用 情况 


虽然 使 用 协议 分 层 可 以 查看 到 包 和 总 字 节 数 的 百分比 ， 但 是 不 能 很 好 地 分 析 一 个 捕获 
文件 中 的 应 用 程序 流 。 如 果 要 想 更 好 地 分 析 数 据 流量 ， 图 表 化 形式 可 以 更 直观 地 显示 。 本 
节 将 介绍 图 表 化 显示 带宽 使 用 情况 。 


6.3.1 认识 IO Graph 


IO Graph 是 以 图 表 的 形式 显示 Wireshark 中 的 数据 包 ， 而 且 显示 包 的 颜色 也 不 同 。 在 
IO Graph 中 ， 可 以 使 用 不 同 的 样式 显示 各 种 过 滤 的 数据 包 。 在 工具 栏 中 ， 依 次 选择 
Statistics|IO Graph 命令 ， 打 开 IO Graph 对 话 框 ， 如 图 6.18 所 示 。 


Ml Wireshark IO Graphs: httppcapng 


A 


Graphs 


| [Graph 2| color [i 


| [Graph 3| color 
| Graph4 color[Eiee] 
Help Copy 


图 6.18 捕获 网 络 数据 图 形 对 话 框 


从 该 界面 可 以 看 到 ,IO Graphs 对 话 框 共 有 3 部 分 内 容 。A 部 分 显示 的 是 数据 包 的 情况 ， 
B 部 分 是 用 来 设置 Graphs, C 部 分 是 用 来 设置 显示 数据 包 的 X 轴 和 立轴 信息 .在 IO Graphs 
窗口 中 可 设置 的 内 容 如 下 所 示 。 

Graphs 部 分 如 下 。 
口 Graph 1 一 5: 表示 开启 1~5 图 表 ， 默 认 仅 开 启 Graph 1。 
口 Color: 图 表 的 颜色 ， 该 颜色 不 可 修改 ， 只 显示 所 使 用 的 颜色 。 
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口 Filter: 指定 显示 过 滤器 。 

口 Style: 图 表 样 式 ， 可 设置 的 值 有 Line、Impulse、Fbar 和 Dot。 
X Axis 部 分 如 下 。 
口 Tick interval: 设置 和 轴 的 每 格 代表 的 时 间 ， 单 位 为 秒 。 
口 Pixels pertick: 设置 X 轴 每 格 占 用 像素 。 

YY Axis 部 分 如 下 。 
口 Unit: 表示 立轴 的 单位 。 

口 Scale: 表示 立轴 单位 的 刻度 。 
口 Smooth: 表示 图 表 的 平滑 度 。 


6.3.2 ”应 用 显示 过 滤器 


在 IO Graph 中 使 用 显示 过 滤器 对 数据 过 滤 后 ， 可 以 更 直观 地 看 出 每 个 数据 包 占 的 带 
宽 。 当 需要 比较 整个 网 络 中 数据 带宽 占用 情况 时 ， 最 好 的 方法 就 是 使 用 图 表 的 形式 显示 出 
来 。 下 面 将 介绍 在 IO Graph 中 应 用 显示 过 滤器 。 
在 IO Graph 中 使 用 显示 过 滤器 过 滤 数 据 时 , 使 用 的 过 滤器 和 在 捕获 文件 中 的 显示 过 滤 
器 不 太一 样 。 首 先 介 绍 在 IO Graph 中 过 滤器 的 使 用 。 
口 绘制 TCP 应 用 程序 图 表 : 使 用 的 过 滤器 是 端口 号 (tcp.port==80)〉 ， 而 不 是 应 用 程 
序 名 。 
口 绘制 UDP 应 用 程序 图 表 : 可 以 使 用 应 用 程序 名 或 端口 号 过 滤 。 例 如 ， 过 滤 DNS 
可 以 使 用 dns 或 udp.port==53 过 滤器 。 
口 绘制 一 个 协议 图 表 : 使 用 应 用 程序 名 过 滤 。 例 如 ，ICMP 协议 可 以 使 用 icmp 过 滤 。 
下 面 举 几 个 在 IO Graph 中 显示 过 滤器 应 用 的 例子 。 
【实例 6-$】 根据 人 P 地 址 显示 统计 信息 。 有 具体 操作 步骤 如 下 所 示 。 
(1) 打开 捕获 文件 http.pcapng。 然 后 在 工具 栏 中 依次 选择 Statistics|IO Graph 命令 ， 打 
开 IO Graph 窗口 ， 如 图 6.19 所 示 。 


Wireshark IO Graphs httppcapng 


Graphs X Axis- 
[Geepad color [Fiter syie:line [2|@ Smooth Tek ntenatisec  [e] 
[Graph 2| color [er Stye: ne |w|@Smooth| Paespertde 5 le 
[Graph 3| color [Fiter: sle tne [= | 加 smooth A 
[Graph a| Color [Fiker: Sqle:lline |=| 回 Smooth Unt: |packets/Tick [= 
[Graphsj oo" [Fter: Stye: FBar | 了] 回 smooh sae: Anto le 
Smooth: No fiter i 
te copy | Save Ga 


图 6.19 IO Graph 窗口 
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(2) 从 该 界面 可 以 看 到 默认 只 启用 了 Graphl。 现在 分 别 在 Graph2 和 Graph3 中 创建 两 
个 全 地 址 过 滤器 ， 过 滤 的 地 址 分 别 是 192.168.0.104 和 61.182.140.146， 如 图 6.20 所 示 。 


WresharloGraphshtppapnrg lelel X 


X Axis— 

Tintevatlsec 
paekpertdc [5 
DVewastmeofday | 


Packets/Tick 


图 6.20 添加 过 滤器 


(3) 从 该 界面 可 以 看 到 创建 的 两 个 过 滤器 。 为 了 可 以 更 直观 地 显示 出 匹配 两 个 过 滤器 
的 数据 ， 将 这 两 个 过 滤器 的 样式 分 别 设置 为 Impulse 和 FBar。 但 是 现在 这 两 个 图 表 还 没有 
启动 ， 所 以 IO Graph 对 话 框 没有 任何 变化 。 此 时 单 击 Graph2 和 Graph3 按钮 启动 图 表 , 将 
显示 如 图 6.21 所 示 的 界面 。 如 果 要 关闭 图 表 ， 再 次 单 击 相应 的 图 表 按 钮 即 可 。 


加 smooth < 二 


园 Smooth Unt: Packets/Tick 
回 smooth | sale: IAvto lw) 
| Smooth: [No fiter 


图 6.21 图 表 显 示 过 滤器 


(4) 从 该 界面 图 表 显 示 区 域 可 以 看 到 有 两 种 不 同 颜色 的 数据 ， 这 就 是 匹配 Graph2 和 
Graph3 过 滤器 后 显示 的 数据 。 

【实例 6-6】 根 据 中 源 地 址 显示 统计 信息 。 具 体操 作 步 骤 如 下 所 示 。 

(1) 使 用 与 上 例 相 同 的 方法 ， 打 开 IO Graph 窗口 。 


“9 
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(2) 创建 两 个 ip.src 过 滤器 ， 并 且 将 匹配 该 过 滤器 包 的 样式 设置 为 FBar 和 Impulse， 
如 图 6.22 所 示 。 


X Axis- 
了 |] 回 smooth Tkntevatlsec 思 
zs Pielspertick: 5 |w 
ls ee 


图 6.22 添加 过 滤器 
(3) 单 击 Graph2 和 Graph4 按钮 启动 图 表 2 和 图 表 4， 显 示 界 面 如 图 6.23 所 示 。 


0s 20s 


IX As 

ps style: ine [=|@ smooth | Tick ntevatl sec 
[ipsress1921680104 | Stye: Fear |w| smooth Pesper tee 5 
| | 


二 00466006 sye: mpuise [加 snooh | unt: 


|packets/Tick 
一 一 一 


Style: Line =| 同 Smooth Saale: | 


图 6.23 图 表 显示 过 滤器 


(4) 从 该 界面 可 以 很 清楚 地 看 到 匹配 两 个 过 滤器 数据 包 的 占用 情况 。 
【实例 6-7】 根据 端口 号 显示 统计 信息 。 具 体操 作 步 又 如 下 所 示 。 
(1) 使 用 与 上 例 相同 的 方法 ， 打 开 IO Graph 窗口 。 


(2) 创建 两 个 tcp.port 过 滤器 ， 并 且 将 匹配 该 过 滤器 包 的 样式 设置 为 Line 和 FBar， 如 
图 6.24 所 示 。 


ss 全 二 
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图 6.24 添加 过 滤器 


(3) 从 该 界面 可 以 看 到 创建 了 两 个 根据 端口 号 过 滤 数 据 的 过 滤器 。 然 后 单 击 Graph2 
和 Graph3 按钮 ， 启 动 图 表 显 示 ， 如 图 6.25 所 示 。 


Style: Line 


[= 日 
‘port==20 lepport==21 stye: Faar | 
| 

Style: Line 


图 6.25 应 用 显示 过 滤器 


(4) 从 该 界面 可 以 看 到 匹配 以 上 过 滤器 的 数据 包 。 


64 专家 信息 


专家 信息 记录 的 是 关于 整个 网 络 中 TCP 的 信息 ， 如 丢 包 、 接 收 包 堵塞 。Wireshark 中 
每 个 协议 的 解析 器 都 有 一 些 专家 信息 。 分 析 者 可 以 在 专家 信息 窗口 中 查看 到 使 用 该 协议 的 
数据 包 中 一 些 特定 状态 的 错误 、 警 告 和 提示 等 信息 。 
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在 工具 栏 中 依次 选择 Analyze|Expert Info 命令 或 在 状态 栏 中 单 击 e (该 图 标 不 一 定 是 黄 
色 ) 按钮 ， 将 打开 专家 信息 窗口 ， 如 图 6.26 所 示 。 


| Detais: 11901 


Duplicate ACK (#2) 
田 Malformec HTTP HTTP body subdissector failed, trying heuristic subdissector 
Sequence TCP Duplicate ACK (#3) 
田 Sequence TCP Duplicate ACK (#4) 
四 Sequence TCP Fast retransmission (suspected) 


图 6.26 专家 信息 窗口 


从 该 界面 可 以 看 到 有 6 个 选项 卡 。 其 中 前 4 个 选项 卡 显 示 不 同 的 颜色 ， 代 表 数 据 包 的 
4 种 状态 。 下 面 分 别 介绍 这 6 个 选项 卡 的 含义 。 
Errors 信息 (红色 ) : 表示 数据 包 中 或 解析 器 解析 时 的 错误 。 
Wamings 信息 黄色) : 表示 不 正常 通信 中 的 异常 数据 包 。 
Notes 信息 〈 蓝 绿色 ) : 表示 正常 通信 中 的 异常 数据 包 。 
Chats 信息 〈 蓝 色 ) : 表示 关于 通信 的 基本 信息 。 
Details 信息 : 显示 包 的 详细 信息 。 
Packet Comments 信息 : 包 的 描述 信息 。 

默认 情况 下 ， 专 家 信息 窗口 的 选项 卡 中 是 不 显示 颜色 的 。 需 要 在 EditlPreferences|User 
Interface 中 启用 Display icons in the Expert Infos dialog tab labels 选项 才 可 以 。 

根据 以 上 每 个 选项 卡 的 介绍 , 可 以 判断 出 在 图 6.26 中 没有 错误 信息 , 有 3 个 警告 信息 、 
34 个 注意 信息 及 669 个 对 话 。 在 选项 卡 上 ， 括 号 之 外 的 数字 指 的 是 这 个 类 别 中 不 同 消息 的 
数量 ， 而 括号 中 的 数字 是 消息 出 现 的 总 次 数 。 

从 Wireshark 中 可 以 查看 到 许多 网 络 问题 ， 但 是 不 能 找到 这 些 问 题 的 原因 。 此 时 就 可 
以 通过 专家 信息 中 的 警告 和 注意 信息 ， 来 判断 出 可 能 影响 网 络 性 能 的 问题 。 下 面 将 介绍 最 
常见 的 各 种 专家 错误 信息 。 


1. Errors 信 息 


DDODO 


如 果 寻 找 应 用 程序 问题 ， 则 检查 在 捕获 文件 中 是 否 有 TCP 错误 。 当 网 络 崩 省 时 ， 没 有 
应 用 程序 可 以 运行 。 


2. Chats 信 息 
口 Window Update: 由 接收 者 发 送 ， 用 来 通知 发 送 者 TCP 接收 窗口 的 大 小 已 被 改变 。 
3. Notes 信 息 


口 Retransmission: 数据 包 丢 失 的 结果 。 发 生 在 收 到 重复 的 ACK， 或 者 数据 包 的 重 传 
输 计时 器 超时 的 时 候 。 
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口 Duplicate ACK: 当 一 台 主 机 没有 收 到 下 一 个 期 望 序列 号 的 数据 包 时 ， 它 会 生成 最 
近 收 到 一 次 数据 的 重复 ACK。 

Zero Window Probe: 在 一 个 零 窗 口 包 被 发 送 之 后 , 用 来 监视 TCP 接收 窗口 的 状态 。 
Keep-Alive ACK: 用 来 响应 保 活 数据 包 。 

Zero window Probe ACK: 用 来 响应 零 窗 口 探查 数据 包 。 

Window full: 用 来 通知 传输 主机 其 接收 者 的 TCP 接收 窗口 已 满 。 


回回 :' 国 - 国 


4. Warnings 信 息 


口 Previous Segment Not Captured: 指明 数据 包 丢 失 。 发 生 在 当 数 据 流 中 一 个 期 望 的 
序列 号 被 跳 过 时 。 

口 ACKed Lost Packet: 发 生 在 当 一 个 数据 包 已 经 确认 丢失 但 收 到 了 其 ACK 数据 包 时 。 

口 Keep-Alive: 当 一 个 连接 的 保 活 数据 包 出 现时 触发 。 

口 Zero Window: 当 接 收 方 已 经 达到 TCP 接收 窗口 大 小 时 ， 发 出 一 个 零 窗 口 通知 ， 
要 求 发 送 方 停止 传输 数据 。 

口 Out-of-Order: 当 数 据 包 被 乱 序 接收 时 ， 会 利用 序列 号 进行 检测 。 

口 Fast Retransmission ACK: 一 次 重 传 会 在 收 到 一 个 重复 ACK 的 20 毫秒 内 进行 。 


6.5 构建 各 种 网 络 错误 图 表 


当 用 户 发 现 访问 网 络 不 正常 时 ， 可 以 通过 构建 图 表 来 判断 这 些 网 络 问题 。Wireshark 
可 以 获取 到 许多 类 型 的 TCP 网 络 错误 ， 如 丢 包 和 接收 堵塞 。 在 Wireshark 中 ， 可 以 使 用 图 
表 的 形式 构建 所 有 TCP 标志 位 包 或 单个 标志 包 。 本 节 将 介绍 构建 各 种 网 络 错误 图 表 。 


6.5.1 构建 所 有 TCP 标志 位 包 


在 判断 网 络 状 况 时 , 可 以 使 用 显示 过 滤器 条 件 tcp.analysis.flags 显示 丢失 、 重 发 等 异常 
情况 相关 的 TCP 报 文 。 下 面 通过 使 用 tcp.analysis.flags 显示 过 滤器 ， 构 建 所 有 TCP 分 析 标 
志 包 图 表 。 

【实例 6-8】 构建 所 有 TCP 标志 位 包 〈 除 窗口 更 新 ) 。 具 体操 作 步 又 如 下 所 示 。 

(1) 捕获 一 个 名 为 unreassembled.pcapng 的 捕获 包 。 

(2) 打开 IO Graphs 窗口 ， 将 显示 如 图 6.27 所 示 的 界面 。 

(3) 该 界面 显示 了 捕获 文件 中 数据 包 的 情况 。 现 在 在 Graph 2 上 使 用 Fbar 样式 显示 
TCP 问题 包 ， 但 不 包括 窗口 更 新 包 。 在 Graph 2 显示 过 滤器 中 输入 tcp.analysis.flags 
&& ltcp.analysis.window_update， 并 将 Style 设置 为 FBar。 然 后 单 击 Graph 2 按钮 ， 将 显示 
如 图 6.28 所 示 的 界面 。 

(4) 在 该 界面 中 红色 柱 形 图 表示 匹配 过 滤器 的 所 有 TCP 数据 ， 黑色 线 条 表示 捕获 文件 
中 数据 的 情况 。 
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Mo 
1000 
500 
站 T T T TFT T T T T ey 0 
[|| os 20s 40s 80s 100s 120s | 
5 惠 
| 
| |rGraphs- 1[X Axis 
[Gg «Be Style: Line |w|@smooth Tkntevatlsec le | 
Graph 2| Color [Fikter:|| | stye:line  [e]@Smooth Prespertce 5 区 
| [ 回 View as time of day | 
Graph 3 | coior [Fikter:| Style: Line 。 || 加 Smooth ee 
| | LGraph 4| Color [Fiker:| Styee: ine ”| 可 回 smooh nt: [packets/Tick 加 | 
| = | 
Graph 5| olor [Fikter:| Style: Line | 了 | 回 smooth sale: /Auto ~ 
Smooth: No fiter - 


图 6.27 IO Graphs 窗口 


X Axis 
Tick intervak 1 sec 
| Pixels per tick: 


6.28 ”启用 图 表 显示 


6.5.2 ”构建 单个 TCP 标志 位 包 


当 用 户 发 现 访 问 Web 服务 器 慢 时 ， 可 以 使 用 图 表 形 式 构建 单个 TCP 标志 位 包 。 通 过 
图 表 的 形式 ， 可 以 直观 地 判断 出 在 访问 Web 时 ， 出 现 了 哪 种 高 延迟 。 这 样 ， 可 以 有 利于 解 
决 网 络 问题 。 下 面 将 介绍 构建 单个 TCP 标志 位 包 。 

【实例 6-9】 构 建 单个 TCP 标志 位 包 。 具 体操 作 步 又 如 下 所 示 。 

(1) 打开 捕获 文件 unreassembled.pcapng。 
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(2) 打开 IO Graphs 窗口 ， 修 改 Graph1、Graph2 和 Graph3 的 显示 过 滤器 和 样式 ， 如 
图 6.29 所 示 。 


图 6.29 设置 过 滤器 


(3) 单 击 Graphl、Graph2 和 Graph3 按钮 启动 图 表 ， 将 显示 如 图 6.30 所 示 的 界面 。 


(Greta coo" [Grer) se sweloo [| smooth | 
二 本 一 | View as time of day 


[ 
jason ae au so ER 
[Grapha] Color [Fiker:| Style: Line [| smooth | unt: Packets/Tick 区 
[Graph 5] olor [Fiker:| | stye:line [=|@Smooth Saale: [Auto 四 


| Smooth: | No filter 


Help Copy Save || Cose 


图 6.30 图 表 显示 


(4) 在 该 界面 以 3 种 不 同 的 颜色 和 样式 显示 了 3 类 数据 包 。 其 中 ， 黑 色 线 条 表示 所 有 
TCP 重 发 的 确认 包 ， 红 色 点 表示 TCP 丢失 的 包 ， 绿 色 柱 形 图 表示 TCP 重 发 包 。 
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在 数据 分 析 中 , 很 多 要 分 析 的 数据 分 布 在 多 个 包 中 。 这 会 给 后 期 的 分 析 造 成 很 多 困扰 。 
重组 数据 就 是 将 网 络 中 传输 的 每 个 部 分 重新 组 合成 一 个 新 的 数据 包 。 使 用 重组 数据 的 功能 ， 
可 以 快速 地 分 析 Web 会 话 或 查看 FTP 传输 的 文件 。 本 章 将 介绍 如 何 重组 数据 。 


7.1 重组 Web 会 话 


在 Web 会 话 通信 过 程 中 , 会 话 内 容 往往 分 散在 很 多 的 包 中 。 通过 使 用 重组 功能 可 以 解 
决 这 个 问题 。 使 用 重组 功能 后 , Wireshark 将 会 重新 组 成 一 个 新 的 会 话 。 新 的 会 话 会 将 MAC 
层 、IPv4/IPv6、UDP/TCP 头 部 及 字段 名 过 滤 掉 ， 只 保留 HTTP 协议 的 内 容 。 本 节 将 介绍 重 
组 Web 会 话 的 方法 。 


7.1.1 重组 Web 浏览 会 i 


【实例 7-1】 启 用 Web 重组 功能 。 有 具体 操作 步骤 如 下 所 示 。 

(1) 在 使 用 重组 功能 前 ,一 定 要 确保 Allow subdissector to reassemble TCP streams 选项 
已 启用 。 如 果 没 有 启用 ， 在 Wireshark 菜单 栏 中 依次 选择 Edit|Preferences|Protocols 命令 ， 
然后 将 Allow subdissector to reassemble TCP streams 复 选 框 勾 上 ， 如 图 7.1 所 示 。 


帮 wiresherk Preferences - Profile: Defoult [el | 
SRVIOC 
SSCOP Show TCP summary n protocol tree: -= 回 
Bid Valdate the TCP checksum # possble: 器 
SSL 
ni Alow subdessector to reassemble TCP streams: -加 | 
StarTeam AnaMze TCP sequence numbers: - 团 
Rebtwe sequence numbers: -= 回 
SUA 
Saaing factor to use when not avaiable fom capture: [Not krown [= 
SYNCHROPHASOR 
T38 Track number of bytes n fight: - 回 
Woe Calcubte conversation tmestamps: - 团 
TAU 
Tm heurstic sub-dissectors first: ~ 器 
TCAP 
lgnore TCP Tmestamps n summary: 器 
TCPENCAP Do not cl subdissectors for eror packets: = 回 
Ma 一 | 
po Tap Expermental Options with a Magk Number: = 加 
Tc | 
TNS 晤 
TDpNro 二 
Ce oy ) (cree | 


7.1 首选 项 窗口 
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(2) 打开 捕获 文件 http pcapng， 如 图 7.2 所 示 。 


一 一- 
oe@audBBaXSAae*oFT Daaagu 
Expression.. Clear Apply Save 


ae、 Te source 

1 0.000000000 Giga-Byt_0b:00: eroadcast 

2 0.490913000 0 oa 61.182.140.146 TCP 
0.14 168.0， 


104 
146 


10 0. 562653000 192.1680, 
11 0. 583167000 61.182.140. 
12 0. 583182000 192.168.0.104 


9 四 


图 7.2 http.pcapng 捕获 文件 


(3) 在 该 捕获 文件 中 选择 HITP 包 (5 帧 )， 并 且 单 击 右键 选择 Follow TCP Stream 选 
将 显示 如 图 7.3 所 示 的 界面 。 


P| 


‘Stream Content 
ET /pe/age Tient/stile/index. json TPR 
Acc 
了 5886jfied-since。 wed, 11 Jun 2014 00:43:29 Gf 
User-Agenr; Mosilia/4. 6 teonpar?ble, WEE 0 Windows NT 5.1) 
Host: pub. idqqing. ¢ 
Pragna: no-cache 


Server : NWS_UGC_HY 
‘connection: keep-alive 
Date: wed，11 Jun 2014 01:: 


‘age=600 
Expires: wed, 本 Jun 2014 01:22:20 GMT 


Last-Modified: 06 Jun 2013 03:16:31 GMT 
‘content-Type: acatiaN7oetet- -SCrean 
Content-Length: 27 
Xx-Cache-Lookup: Mit From pisktank 
人 

3 BOM. UTF8. ™, 
"i ://qgchathot. keysda. id 

chathor. sos' a. idx. gz", 

pd 3982302 290 Ys 
Ep ps//pub. dqqing. com/pc/aqclient/sfile/ 
Pndara max gq 


me $6/5/2013 15:39:48" 


Entire conversation (796 bytes) 加 


Eind [Save ss [Bint |© ascn © EBCDIC © HexDump © CArrays @ Raw 


图 7.3 Follow TCP Stream 对 话 框 


(4) 从 该 界面 可 以 看 到 显示 的 数据 ， 使 用 了 两 种 颜色 。 其 中 ， 红 色 部 分 表示 客户 端 发 
送 的 数据 ， 蓝 色 表示 服务 器 发 送 的 数据 。 用 户 也 可 以 单 击 图 7.3 中 的 四 按钮 ， 在 下 拉 框 中 
选择 仅 显 示 客户 端 到 服务 器 或 服务 器 到 客户 端的 会 话 ， 如 图 7.4 所 示 。 


192.168.0.104:51833 一 61.182.140.146:http (214 bytes) 
61.182.140.146:http 一 192.168.0.104:51833 (582 bytes) 


7.4 显示 单个 会 


i 
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从 该 界面 可 以 看 到 ， 有 3 种 显示 方法 。 分 别 是 显示 整个 会 话 、 客 户 端 到 服务 器 的 会 话 
或 服务 器 到 客户 端的 会 话 。 

(5) 在 该 对 话 框 中 显示 的 数据 ， 是 帧 Packet Details 面板 中 的 详细 信息 。 但是， 在 该 对 
话 框 中 不 包含 以 太 网 、IP、TCP 头 部 的 信息 。 此 时 返回 到 Wireshark 界面 ， 将 看 到 如 图 7.5 
所 示 的 界面 。 


羔 htp pcapng [wiresherk 1107 (vi107-0-g6b93lalfrommasterlO] 
Be Edt Yew Go Capture hnayze Statstcs Telephony Joos Intemas Hep 
ER > 


No Time Source Destination Protocol Length Info 
2 0.490913000 192.168.0.104 61.182.140.146 66 51833 > http [SYN] Seq=0 
3 0. 511868000 61.182.140.146 一 一 一 一 p 60 htrp > 51833 [SYN, / 
有 881000 192.168.0.104 61. 6 4 a 1 4 


10 0. 562653000 192.168.0.104 61.182.140.146 60 51833 > http 
一 一 61.182.140.146 192.168.0.104 全 60 hrrp > 51833 [FIN, ACK] 


EE 192.168.0.104 61.182.140.146 60 51833 > http [ACK] Seq=2 
» 
I@ | Fle: “D:\traces\http.pcapng” ... | Packets: 401 * Dsplayed: 11 (2.7%) * Loa... | Profie: Defauk 


图 7.5 过 滤 的 数据 


(6) 该 界面 显示 了 匹配 tcp.stream eq 0 过 滤器 的 数据 包 。 从 状态 栏 中 可 以 看 到 ， 共 有 
11 个 包 匹 配 以 上 过 滤器 。 在 匹配 的 数据 包 中 ， 共 有 两 个 HITP (5、8) 包 。 其 中 一 个 是 客 
户 端 发 送 给 服务 器 的 包 ; 一 个 是 服务 器 响应 客户 端的 包 。 所 以 ， 在 图 7.3 中 只 显示 了 两 个 
包 信 息 。 在 Packet Details 面板 中 展开 HTTP 协议 行 ， 显 示 界 面 如 图 7.6 所 示 。 


属 htp pcapng Wireshark 1107 (v1107-0-g6bo3lalfrommasterl1O] 
一 一 一 
加 四 大 面世 | 巴 全 X 包 人 9 宁国 于 二 rove 硬 回 ” 


ee 


Accept: */*\r\n 
If-Modified-Since: wed, 11 Jun 2014 00:43:29 @T\r\n 日 
User-Agent; Mozi11a/4.0 (compatible; MSIE 6.0; windows NT 5.1)\r\n 

Host: pub. idaqimg. com\r\n 

Pragma: no-cache\r\n 

ran 


[HTTP request 1/1] 


«ee Em | ;» 
© | Frame (frame), 268 bytes Packets: 401 * Dsplayed: 11 (2.7%) * Lo... _ Profie: Defaukt 


图 7.6 HTTP 包 信 息 


(7) 此 时 通过 将 该 界面 显示 的 信息 与 图 7.6 中 红色 部 分 进行 比较 ， 可 以 发 现 每 个 字段 
都 是 相对 应 的 。 如 果 查 看 服务 器 端 发 送 的 数据 ， 则 展开 8 帧 的 HITP 行进 行 查看 。 

在 图 7.3 中 ， 还 有 几 个 按钮 可 以 对 过 滤 的 会 话 进行 不 同 的 操作 ， 下 面 分 别 进行 介绍 。 
Find: 用 来 查找 文本 字符 串 。 
Save As: 用 来 保存 该 会 话 。 
了 Print: 用 来 打印 该 会 话 。 
ASCII: 使 用 ASCII 格式 显示 过 滤 的 数据 。 
EBCDIC: 使 用 EBCDID 格式 显示 过 滤 的 数据 。 


已 - 百 日 日 口 


-Es 
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Hex Dump: 使 用 十 六 进 制 格式 显示 过 滤 的 数据 。 
C Arrays: 使 用 C 数组 的 格式 显示 过 滤 的 数据 。 
Raw: 使 用 数据 未 处 理 之 前 的 格式 显示 过 滤 的 数据 。 
Filter Out This Stream: 创建 并 应 用 非 显示 数据 的 显示 过 滤器 ， 如 !(tcp.stream eq 0)。 
Close: 关闭 对 话 框 。 
有 了 时候 访问 一 个 网 站 时 ， 可 能 有 大 量 不 正常 的 隐藏 消息 发 送 到 浏览 会 话 中 。 下 面 将 介 
绍 在 一 个 捕获 文件 中 ， 找 出 一 个 Web 站 点 的 隐藏 消息 。 
【实例 7-2】 使 用 重组 功能 找 出 Web 站 点 隐藏 的 HITP 消息 。 具 体操 作 步 又 如 下 所 示 。 
(1) 启动 Wireshark 工具 。 
(2) 在 捕获 选项 窗口 中 选择 捕获 接口 ， 并 指定 捕获 文件 的 位 置 和 文件 名 ， 如 图 7.7 


所 示 。 


日 日 .已 怕 口 


Bm 


Lnk-layer header Prom. Mode Snaplen [B] Buffer [MiB] Capture Fiter ~ 
四 


Ethernet enabled default 


加 Capture on all interfaces 
Use promiscuous mode on al interfaces 


| [Compie saleced ep 


Dapby Options 


Capture Fies 


Fle: Di\traces\http-reassembly.pcapngl| ea list of packets in real time 
ee [ireceep- eonttp cprd oo (pe [oA 


up Las Lo | 


图 7.7 捕获 选项 窗口 


(3) 以 上 信息 设置 完成 后 ， 单 击 Start 按钮 开始 捕获 数据 。 
(4) 通过 访问 www.wireshark.org 网 站 ， 产 生 HITP 数据 。 然 后 停止 Wireshark 捕获 ， 
显示 界面 如 图 7.8 所 示 。 
属 htp-reassembypcapng [Wireshark 1107 wL107.0-96b93lalfommaserli0l le 
Fie Edt Vew Go Capture Anayze Statstcs Telephony Toog Intemas Hep 
004MAlDEDOS A 人 OT 得了 回春 国 网 » 


Fher [=] epresaon- Clear Apply Save 
Ne ~ Time Destination Protocol Length Iinfo ^ 
A 02168.0.107 162.159.242.165 ee 66 picodbc > http [SYN] seq=(| 
421 5.918166000 162.159.242.165192.168.0.107 66 http > inspect [SYN, ACK] 
422 5.918243000 192.168.0.107 162.159.242.165 eR 54 inspect > http [ACK] Seq=: 
| 424 5.918703000 162.159.242.165192.168.0.107 TP > p 
425 5. 918748000 192.168.0.107 162.159.242.165 TCP EEC 
426 5.932413000 116.3.9.51 192.168.0.107 Upp 72 Source port: 57241 Destit 
427 6.011903000 fe80::84e1:a4a0ff02::c SSDP 208 NM- Pp/1.1 
428 6.046916000 Giga-Byt_0b:00:Broadcast ARP 60 who has 192.168.0.106? Ti 
429 6. 047563000 Giga-Byt_17:d7:Broadcast ARP 60 who has 192.168.0.105? Ti 
430 6.088091000 162.159.242.165192.168.0.107 TCPp 60 http > inspect [ACK] Seq=: 


431 ee 2 2 168.0.107 TcP 


an tnnon ee ma rn 


® | Fie: "D:\traces\http-reass... | Packets: 30646 * Displayed: 30646 (100.0%) * Dr... | Profile: Defauk 


7.8 捕获 的 数据 


= 60* 
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(5) 从 该 界面 的 状态 栏 中 ， 可 以 看 到 共 捕 获 了 30646 个 数据 包 。 如 果 想 要 快速 地 分 析 
HTTP 数据 包 的 详细 信息 ， 显 然 有 点 困难 。 此 时 使 用 重组 功能 ， 将 一 些 有 干扰 的 数据 包 过 
滤 掉 。 

(6) 在 图 7.8 中 的 Packet List 面板 中 420、421、422 帧 是 客户 端 访问 服务 器 时 ，TCP 
三 次 握手 建立 连接 的 数据 包 。423 是 客户 端 发 送 的 GET 请 求 包 ， 此 时 右键 单 击 423 帧 并 选 
择 Follow TCP Stream 命令 ， 过 滤 整 个 会 话 的 HTTP 数据 ， 如 图 7.9 所 示 。 


3 TPA 
ese En apnicarion/xhemtxm1， =/* 
IAcEePt:, 3005 ge: 
User -Agent: Mozilla/5.0 (windows NT 6.1; wow64; Trident/7.0; rv:11.0) like Gecko 
Ros wendregpal grip, ,| 
| 


necti on: Keep-Ali 
Cookie emt 50224056283e ces 22 oS 20392s 
oema-87653150。 1704493720.1404209867.1404289605.1404293718. 3; 

—Utmz=87653150.1404289605.2.2. OT on iessrgarde ls 
[Chi ided) || 


HTTP/1.1 
ee covare; 


Thu, 03 J 002 01:53:01 GMT 
ER Type: a ml 
Transfer- ceding: chunked 
Fi oe ne 
X-Frame- 
Xod Pagespeed: 


Ee 143f726e: 
Content-Encoding: 


[Entire conversation (32484 bytes) 
[End | Seveas | prim |© ascn 


Help 


图 7.9 Follow TCP Stream 对 话 框 


(7) 在 该 对 话 框 显示 的 会 话 中 ,可 以 看 到 没有 以 太 网 、IP 和 TCP 头 部 。 此 时 向 下 滚动 
鼠标 可 以 看 到 ，Wireshark 创造 者 Gerald Combs 隐藏 的 消息 。 该 消息 是 在 服务 器 会 话 中 ， 
以 X-Slogan 开头 的 数据 为 站 点 的 隐藏 消息 。 此 时 返回 Wireshark 界面 ， 将 会 看 到 自动 使 用 
了 tcp.stream 字段 过 滤器 ， 如 图 7.10 所 示 。 


chan mo 
©® -Ms 国 国 2 


Protocol Length Info 
ep | 


Fie: "D:\traces\http-reassembl... | Packets: 30646 * Displayed: 51 (0.2%... | Profie: Defau 


图 7.10 过 滤 的 数据 


“ls 
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(8) 该 界面 显示 了 [匹配 tcp.stream eq 19 过 滤器 的 数据 包 。 如 果 想 过 滤 非 tcp.stream eq 19 
过 滤器 的 数据 包 ， 可 以 单 击 图 7.9 中 的 Filter Out This Stream 按钮 ， 将 显示 如 图 7.11 所 示 


的 界面 。 


属 htp-reassemblypcapng [Wireshark 1107 (v1107-0-96b931a1 from master-110)] le 


Ele Edt View Go Capture Anayze Statistics Telephony IToos Jntemak Hep 
©@aAud|lSDaXS i 本 >» 


424 
鼎 2 5.918748000 


图 7.11 过 滤 的 数据 包 
(9) X-Slogan 消息 仅 隐藏 在 Web 浏览 会 话 中 。 此 时 可 以 使 用 显示 过 滤器 ,过 滤 捕 获 文 
件 中 包含 X-Slogan 字符 串 的 数据 。 在 显示 过 滤器 中 输入 frame contains "X-Slogan" 过 滤器 ， 
将 显示 如 图 7.12 所 示 的 界面 。 
http-reassembly pcapng [Wireshark 1107 LI107-0-96b93lalfom masterll10j [EU 


Ele Edt View Go Capture Anayze Statistis Telephony Too jntemak Hep 
日 加 着 面 区 | 巴巴 X 多 人 ee 了 和 | 四 加 el 可 加 ， 


mca [| epwdon ceer or sew 


E | 


TCP of a 
492 5 i 162. 159. 2 165192.168. 0.107 TP of a reas 
512 6.777675000 162.159.242.165192.168.0.107 TCP 1494 [TCP segment of a reas! 
518 6.778147000 162.159.242.165192.168.0.107 Tp 1494 [TCP segment of a re: 
523 6.778816000 162.159.242.165192.168.0.107 HTTP 1131 HTTP/1.1 200 OK (PNG) 
531 6.949130000 162.159.242.165192.168.0.107 TP 1494 [TCP segment of a reas 
555 7.365767000 162.159.242.165192.168.0.107 Tp 1494 [TCP segment of a reas; 
597 9.077868000 162.159.242.165192.168.0.107 TP 1494 [TCP segment of a reas; 
656 9.475426000 es 159.242.165192.168.0.107 Tp 1494 [TCP segment of a 


8 


图 7.12 包含 X-Slogan 字符 串 的 数据 包 


(10) 从 该 界面 的 状态 栏 中 ,可 以 看 到 有 10 个 数据 包 匹 配 X-Slogan 字符 串 。 此 时 可 以 
选择 其 他 数据 包 ， 查 看 www.wireshark.org 站 点 中 隐藏 的 消息 。 


7.1.2 导出 HTTP 对 象 


当 分 析 HTTP 会 话 时 ， 导 出 HTTP 对 象 可 以 帮助 用 户 了 解 个 人 页 面 中 传输 的 元 素 ， 如 
重组 HIML、 图 片 、JavaScript、 视 频 和 样式 表 对 象 等 。 下 面 将 介绍 导出 HITP 对 象 。 

在 导出 HITP 对 象 之 前 ， 需 要 将 TCP 首选 项 的 Allow subdissector to reassemble TCP 
streams 选项 启用 。 如 果 不 启 用 TCP 重组 ，Wireshark 则 不 能 重组 HTTP 对 象 。 事 实 上 ， 
Wireshark 将 列 出 用 来 传递 一 个 对 象 的 每 个 数据 包 ， 而 不 是 每 个 对 象 。 

如 果 确 定 Allow subdissector to reassemble TCP streams 选项 开启 后 , 就 可 以 查看 在 捕获 


2 
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文件 中 所 有 的 HITP 对 象 了 。 在 Wireshark 的 菜单 栏 中 依次 选择 Filel|Export ObjectsIHTTP 
命令 ， 将 显示 所 有 的 HITP 对 象 ， 如 图 7.13 所 示 。 


passportbaiducom i 3795 bytes uni login_wrapperjs?cdnw 
suggestion.baidu.com i 78 byes surwd=B&zxmode=18json 
image.baidu.com 231k8 \ 


hm.baidu.com 43 bytes hm.gifrcc=1&ck=18cl=24 
image baiducom application/json 72 bytes msg?t=1404375119425 
image.baidu.com application/json 98 bytes 。 medal?uid=08t=14043751 
imane .haiducom text/html 346 kR a MA ANY 2 


上 [E 卫 本 区 本 到 | 


图 7.13 HTTP 对 象 列表 


该 界面 显示 了 所 有 的 HTTP 对 象 。 此 时 就 可 以 在 该 列表 中 选择 任何 一 个 对 象 ， 然 后 单 
击 Save As 按钮 保存 到 一 个 新 的 位 置 。 如 果 要 导出 所 有 HTTP 对 象 ， 则 单 击 Save All 按钮 。 
当 HTTP 对 象 很 多 时 ， 如 果 要 导出 列表 中 所 有 的 HITP 对 象 ， 将 会 需要 很 长 一 段 时 间 。 

下 面 将 介绍 在 HTTP 对 象 列表 中 的 每 列 信息 ， 如 下 所 示 。 

口 Packet num: 表示 在 每 个 文件 传输 过 程 中 的 第 一 个 包 。 

口 Hostname: 表示 每 个 文件 传输 之 前 ，GET 请 求 的 http.host 字段 值 。 

口 Content Type: 显示 了 HTTP 对 象 的 格式 。 该 对 象 可 能 是 图 片 (如 .png、jpg、gif) 、 

脚本 (如 js) 或 视频 (如 .swf、.flv〉。 

口 Size: 表示 传输 对 象 的 大 小 。 

口 Filename: 表示 对 象 请 求 的 名 称 。“\” 请 求 表示 在 一 个 Web 页 面 的 默认 元 素 。 

【实例 7-3】 从 Web 浏览 会 话 中 提取 一 个 HTTP 对 象 。 有 具体 操作 步骤 如 下 所 示 。 

(1) 启动 Wireshark 工具 。 

(2) 指定 捕获 接口 和 捕获 文件 的 位 置 及 文件 名 ， 如 图 7.14 所 示 。 


[7 Use promiscuous mode on all interfaces 


|| Gapture Fies 


图 7.14 捕获 选项 窗口 
(3) 设置 完 以 上 信息 后 ， 单 击 Start 按钮 将 开始 捕获 数据 。 


"ls 
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(4) 本 例 中 选择 导出 一 个 .jpg 格式 对 象 。 为 了 使 Wireshark 捕获 到 HTTP 数据 ， 此 时 访 
问 www.baidu.com 网 站 ， 并 下 载 一 张 jpg 格式 的 图 片 。 

(5) 返回 到 Wireshark 主 界面 ,停止 捕获 。 然 后 将 Allow subdissector to reassemble TCP 
streams 选项 禁用 ， 因 为 本 例 中 使 用 的 是 Export Objects 功能 。 为 了 使 用 户 能 更 清楚 地 了 解 
HTTP 对 象 ， 建 议 将 Host 列 添加 到 Packet List 面板 中 ， 如 图 7.15 所 示 。 


属 http-download pcapng [wireshark 1107 (v1107-0-96b931al from master110)] el) 

Ele Edt View Go Capture Anayze Statstics Telephony Iook Hep 

O00aNADD 人 ODSIAP 人 OFT QQQi| 国 » 

Fiker 口 了 | Expression.. Clear Apply Save 

No. < Time protocol Length Host Info 。 “ 
39 1.25: Sn 135. 185. 194 Tp 66 Cpq-t 
40 1.252019000 7 123.125.114.10]TCP 62 jincra 
41 1.252042000 61.135.186.152 TCP 54 autoc 
42 1.252217000 61.135.186.152 TCP 62 netwa 
43 1.262066000 61. 135. 169. 125 192.168.0.107 TCP 62 http 
44 1.262142000 192.168.0.107 61.135.169.125 TCP 54 tick- 
46 1.264621000 ‘+135.185.194 192.168.0.107 TCP 66 tp 
47 1.264685000 192.168.0.107 61.135.185.194 TCP 54 Cpq-t 
481.264693000 61.135.186.152 192.168.0.107 TCP 62 hrtp 
49 1.264741000 192.168.0.107 61.135.186.152 TCP 54 metwa 
50 1.267409000 123.125.114.10]192.168.0.107 TCP 62 http ~ 

4 画 

@ WY | Fle: "D:\traces\http-download... | Packets: 2973 * DspByed: 2973 (100.0.… | Profie: Defauk 


图 7.15 http-download.pcapng 捕获 文件 


(6) 从 该 界面 可 以 看 到 Host 列 已 经 被 添加 ， 并 且 向 www.baidu.com 网 站 发 送 了 GET 
请 求 。 此 时 在 菜单 栏 中 依次 选择 File|Export Objects|IHTTP 命令 ,将 显示 如 图 7.16 所 示 的 
界面 。 

(7) 从 该 界面 的 格式 中 可 以 看 到 ， 访 问 过 好 多 张 图 片 。 这 里 选择 导出 名 为 
U=2,2597470098&fm=19&gp=0.jpg 的 图 片 。 选 择 该 图 片 后 ， 单 击 Save As 按钮 ， 指 定 该 图 
片 的 保存 位 置 和 文件 名 。 

(8) 此 时 进入 该 图 片 保存 的 位 置 , 将 会 看 到 该 图 片 的 内 容 。 打开 该 图 片 , 结果 如 图 7.17 
所 示 。 


PE 
packet num Hostname Content Type Size Hlename 
70 www.baidu.com text/html 55kB index.phpNtn=56060048_pg&ch=2 


83 passportbaiducom text/javascipt 3795 bytes unilogin wrapperjs?cdnversion=1404|3 
88 ~ suggestionbaiducom text/javasaipt 78bytes surwd=&zmmode=18json=18&p=38sic| 
287 image.baidu.com text/html 231 kB 入 

335 。 hmbaiducom image/gif 43 bytes hm.gifrcc=1aick=18cl=24-bit&ids=144 
349 jimage.baidu.com application/json 72bytes msg?t=1404375119425 

354 imagebaiducom application/json 98bytes medal?uid=0&t=1404375119426 

560 imagebaiducom text/html 346 kB 。 channel?c=%E596AES6AOXE7%68936A9 
585 hmbaiducom 416 ea 


imgt9.bdstaticcom imagejjipeg 19 ke。 u=225974700988fm= re ojpg 
imgt8.bdstaticcom image/jpeg 13k8 u=22395793564afm=198gp=0jpg 


imgt5.bdstaticcom image/jpeg 26kB  u=2.2198460325&fm=19&gp=0jpg 
imgt6.bdstaticcom image/ipeg 23 kB u=2.29113256608dfm=19&gp=ojpg | - 


le Es 


图 7.16 HTTP 对 象 列表 图 7.17 导出 的 HITP 对 象 


。164 。 
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7.2 重组 FTP 会 话 


FTP 是 文件 传输 协议 。 所 以 ， 它 的 主要 功能 就 是 用 来 上 传 或 下 载 文件 。 由 于 传输 的 文 
件 往往 较 大 ， 所 以 信息 分 布 在 多 个 数据 包 中 。 如 果 要 使 用 Wireshark 分 析 传 输 的 文件 ， 需 
要 将 数据 重组 后 才 可 以 。 所 以 ， 本 节 将 介绍 重组 FTP 数据 。 


7.2.1 重组 FTP 数据 


FTP 通信 使 用 命令 和 数据 通道 进行 连接 。 数 据 通道 仅 由 TCP 握手 连接 数据 包 。 在 数据 
通道 中 使 用 重组 功能 ， 可 以 很 容易 地 将 传输 的 文件 重新 组 装 成 原始 格式 。 

【实例 7-3】 演 示 重 组 FTP 数据 功能 。 

(1) 启用 Wireshark 功能 。 

(2) 选择 捕获 接口 及 捕获 文件 的 位 置 和 文件 名 ， 如 图 7.18 所 示 。 


Wireshark Capture Options [=/S 
Capture 
Capture Interface Lnk-layer header Prom. Mode Snaplen [B] Buffer [MiB] Capture Fiter < 
2 
fe80-b8f6.e082.54fcb228 Ethernet enabled defauk 2 
1921680107 
Capture on all interfaces [Manage interfaces] 
司 Use promiscuous mode on all interfaces er 
[Gopture Fiter] [=] [Compie selected BpFs| 
| 
| Capture Fies Display Options 
Fle: |DAtraces\ftp-download.pcapngl [Browse-] 避 Update list of packets in real time | 
人 
| ] 
| tee a) Lese。 |] 


图 7.18 捕获 选项 窗口 


(3) 以 上 信息 设置 完成 后 ， 单 击 Start 按钮 开始 捕获 数据 。 
(4) 为 了 使 Wireshark 能 捕获 到 FTP 数据 包 ， 需 要 在 一 个 客户 端 主机 上 操作 一 些 FTP 
命令 。 如 下 所 示 。 


C:\Users\lyw>ftp 192.168.0.114 

连接 到 192.168.0.114。 

220 mE TPdl2e2.2) 

用 户 (192.168.0.114: (none)): ftp 

331 Please specify the password. 

密码 : 

230 Login successful. 

ftp> cd pub 

250 Directory successfully changed. 

ftp> dir 

200 PORT command successful. Consider using PASV. 
150 Here comes the directory listing. 

EW ==r=— 0 0 Om oO ors Ll tt 


“5 
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I 


0 Jul 02 09:58 a.:txt 
9733 Jul 03 06:06 cat.jpg 
8136 Jul 03 06:05 dog.jpg 
8095 Jul 03 06:06 pig.jpg 


FF 
区 
SSSsS 


—IW-I—-r-—— 
226 Directory send OK. 

ftp: 收 到 322 字 节 ， 用 时 0.00 秒 322000.00 千 字 节 / 秒 。 

ftp> get cat.jpg 

200 PORT command successful. Consider using PASV. 

150 Opening BINARY mode data connection for cat.jpg (9733 bytes). 
226 Transfer complete. 

ftp: 收 到 9733 字 节 ， 用 时 0.00 秒 9733000.00 千 字 节 / 秒 。 

bp> aquat 

221 Goodbye. 


以 上 信息 执行 了 登录 FTP 服务 器 、 下 载 文 件 及 退出 等 命令 。 
(5) 此 时 返回 到 Wireshark 界面 ， 停 止 捕获 。 捕 获 到 的 FTP 数据， 如 图 7.19 所 示 。 

ftp-downlosdipcapng [Wireshark 1107 wL107-0-96b93lal from master110] 
Ele Edt Vew Go Captre Anayze Statetcs Telephony Toog ntemak Heb 


oO@a#udleXSlAe 人 OFT| 国 国 QQQD 加 罗 > 
Fiker; [=] expression.. Clear Apply Save 


|INo. Time 


181 21.208997000 192 
182 21.213717000 192.1: 


185 21.214278000 192.168.0.114 192.168.0.107 TCP 66 ftp-data > imagequery [Ac 
186 21.214427000 192.168.0.114 192.168.0.107 FTP 121 Response: 150 Opening BIN/ 
187 21.214538000 192.168.0.114 FTP-DA1 1514 FTP Data: 1448 byres 
188 21.214613000 FTP-DA1 1514 FTP Data: 1448 bytes 
189 21.214627000 TcP 66 imagequery > ftp-data [ACY 
190 21.214728000 FTP-DA1 1266 FTP Data: 1200 bytes 
191 21.214810000 192.168.0.107 FTP-DA1 1514 FTP Data: 1448 bytes 
192 21.214822000 192.168.0.107 192.168.0.114 TCP 66 imagequery > ftp-data [AC 
193 21.214929000 192.168.0.114 192.168.0.107 FTP-DA1 1514 FTP Data: 1448 bytes 
194 21.214995000 192.168.0.114 192.168.0.107 FTP-DA1 1266 FTP Data: 1200 byres 
195 21.215008000 192.168.0.107 192.168.0.114 TCP 66 imaqeouery > ftp-data [ACt™ 
| ’ 


al nL 


| 
I® | Fie: "Di\traces\ftp-download.... | Packets: 232 * Displayed: 232 (100.0%) * L... | Profie: Defaut | 


到 


图 7.19 ”fip-download.pcapng 捕获 文件 


(6) 在 FTP 数据 通道 上 重组 传输 的 文件 。 在 该 界面 右键 单 击 187 帧 , 并 选择 Follow TCP 
Stream 命令 ， 将 显示 如 图 7.20 所 示 的 界面 。 


FiovTcsmn 


Stream Content 
IFIF. PT rT 2 


.. (7) ,01444. "9=82<. 342... 


22222222222222222222222222222222222222222222. . . . . . . . 0.. 


Entire conversation (9733 bytes) 国 


DE Be)o wa Occ oo ochor me 


图 7.20 文件 原 格式 


*166°* 
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(7) 该 界面 显示 的 数据 ， 就 是 将 传输 的 原 格式 重组 后 的 结果 。 如 果 要 查看 该 文件 ， 单 
击 Save As 按钮 将 该 会 话 保存 为 一 个 新 的 文件 。 保 存 的 文件 名 格式 ， 必 须要 与 在 RETR 或 
STOR 命令 中 看 到 的 格式 相同 。 


7.2.2 提取 FTP 传输 的 文件 


重组 后 , 我 们 可 以 找到 FTP 传输 的 文件 。 但 是 从 数据 包 中 , 我 们 很 难 判断 文件 的 内 容 。 
这 时 ， 可 以 从 数据 库 提取 我 们 所 关注 的 文件 。 下 面 是 提取 文件 的 具体 操作 。 

【实例 7-4】 从 FTP 文件 传输 中 提取 一 个 文件 。 具 体操 作 步 又 如 下 所 示 。 

(1) 打开 ftp-download.pcapng 捕获 文件 。 

(2) 通过 使 用 应 用 程序 过 滤器 过 滤 FTP 数据 包 ， 将 显示 如 图 7.21 所 示 的 界面 。 
Ml fip-downlosd peapng [Wireshark 1107 (L107-0-96b931a1 from master-110) 
Ele Edt Vew Go Capture Anayze Statstcs Telephony Ioos jntemas Hep 
本 回 看 硬 攻 | 巴 外 X 包 人 四 于 业 | 回回 QQQDIE > 


45 8.681041000 
47 8. 681383000 

58 10.121260000 
59 10.122951000 
86 13.193303000 
87 13.193655000 


64 Request: USER ftp 

88 Response: 331 Pleas 
66 Request: PASS admin = 
77 Response: 230 Login | 


192.168.0.114 
192.168.0.107 
14 192.168.0.107 


93 Response: 150 Here 
78 Response: 226 Direc . 


115 16. 010583000 


Packets: 232 * Dsplayed: 19 (8.2%... | Profie: Defauk 


e | Fie: "Di\traces\ftp-download.... 


图 7.21 匹配 的 FTP 数据 包 


(3) 从 该 界面 可 以 看 到 大 量 的 FTP 命令 。 如 登录 、 切 换 目 录 、 定 义 端 口号 等 。 在 该 界 
面 右键 单 击 45 帧 (USER ftp 命令 ) ， 并 选择 Follow TCP Stream 命令 。 将 显示 如 图 7.22 
所 示 的 界面 。 


Meow 


Stream Content 
220 (vsFTPd 2.2.2) 

USER ftp 

331 please specify the password. 
PASS admin 

230 Login successful. 

250 Directon) ee changed. 
PERT 192"188Y0°167 
200 PORT 


SS fas constderningiea 
Ea "| 


0 Here comes the directory listing. 
2 Directory send 
200 pORT 


T 192， ee 0,107,8, 191 
sictessful. consider using PASV. 


33 ea SINARY mode dara connection for cat. jpg (9733 byres). 
Transfer complet. 

ur 

221 Goodbye. 

Entire conversation (493 bytes) 加 


[ns [Savess |[grint |© Ascn © Escpic © HexDump © CArmays ® Raw 
Cu |] [Feroam™hissweom |] (gowe |]| 


图 7.22 FTP 的 Follow TCP Stream 对 话 框 


a 
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(4) 从 该 界面 可 以 很 清楚 地 看 到 ， 客 户 端 和 服务 器 之 间 互 相 发 送 的 数据 。 如 客户 端 登 
录 服 务 器 命令 USER 和 PASS、 切 换 目 录 命 令 CWD、 定 义 的 端口 命令 PORT、 监 听 目 录 命 
令 LIST、 请 求 文件 命令 RETR 及 断 开 与 服务 器 的 连接 命令 QUIT。 

(5) 在 该 捕获 文件 中 有 两 个 数据 连接 ， 分 别 是 监听 目录 和 文件 传输 。 本 例 中 最 关心 的 
是 这 两 个 数据 流 ， 而 不 是 命令 。 所 以 ， 此 时 需要 使 用 显示 非 FTP 命令 的 显示 过 滤器 。 在 图 
7.22 中 单 击 Filter Out This Stream 按钮 ， 将 关闭 Follow TCP Stream 对 话 框 并 且 应 用 显示 非 
FTP 命令 的 过 滤器 ， 如 图 7.23 所 示 。 


{A tp-dowrlosdpeapng Wireshark 1107 (W107.0.96b931o1 fom moster10) [ea 
Ee Edt Vew Go Capture Anayze Statistics Telephony Iook Jntemak Hep 
园 加 大 本 古 | 巴 外 X 包 以 拖 四 守业 | 辐 加 QI 本 ， 


Expression.，Clear Apply Save 


2 1.307763000 b ghb 
3 1.325787000 。 > 74 39196 > ep [sYN] 
4 1.521104000 出 aff02:: SSDP 208 M-SEARCH * HTTP/1.: 

192. 168. 0. 114 74.125.136.102 TCP 74 39197 > http [SYN] 


© | File: "DO:\traces\ftp-download.... | Packets: 232 * Displayed: 199 (85.... 


图 7.23 过 滤 的 数据 包 


(6) 此 时 ， 该 捕获 文件 将 不 会 出 现 有 FTP 命令 的 数据 包 。 此 时 右键 单 击 任何 数据 帧 ， 
并 选择 Follow TCP Stream 命令 ， 将 显示 如 图 7.24 所 示 的 界面 。 


和 [ER 


$." ",#..(7),01444. "9=82<.342...C........ 


21.! 
| | 22222222222222222222222222222222222222222222222222........ 0.. 


Entire conversation (9733 bytes) 


Eind |[ SaveAs || print |©O Asct © EBcpic 


图 7.24 ”传输 文件 会 话 


(7) 该 界面 显示 了 在 FTP 中 传输 的 一 个 文件 ， 并 且 该 文件 是 一 个 图 片 (JFIF) 。 为 了 
重组 该 图 片 ， 单 击 Save As 按钮 保存 该 文件 。 单 击 Save As 按钮 后 ， 指 定 保存 文件 的 位 置 
和 文件 名 ， 并 单 击 Save 按钮 ， 如 图 7.25 所 示 。 


"168。 
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| ent Ee 


Blaces Name Size Modifed 
A Search Daa 32.5 kB 11:29 

加 Recently Used D Capture_mac.pcapng 31MB 2014/6/18 
pe Dcaptureset_00001_20140701175127.pcapng 332.2 kB 星期二 

BS Desltop 500 bytes 2013/1/24 
| 本 地 起 盘 (CY) 132.6 kB 2014/6/20 


> 新 加 内 (D:) 913.3 kB 2014/6/19 
> 新 加 郑 (E;) i 732 bytes 2012/11/19 
之 本 地 辜 盘 (F) D 23.0kB 2014/6/23 
当 BD-ROM 更 动 器 (H) | 中 485kB 14:12 
.9 DVD RW 波动 器 () i tic 86k8 2014/6/26 
¥ share \\192.168.0... D 132.2 kB 2014/6/11 
82.1 kB Yesterday at 17:24 
553.2 kB 2014/6/20 
48.7 kB 2014/6/13 


[Cs] Eee ] 


图 7.25 保存 传输 文件 
(8) 现在 到 cat.jpg 文件 的 目录 中 ， 打 开 catjpg 文件 ， 将 显示 如 图 7.26 所 示 的 界面 。 


图 7.26 提取 的 文件 
(9) 该 图 片 就 是 从 FTP 传输 的 数据 中 提取 出 来 的 。 
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当 用 户 分 析 一 个 捕获 文件 时 ， 可 能 会 发 现 非常 重要 的 信息 。 由 于 包 太 多 容易 忘记 对 应 
的 位 置 ， 此 时 可 以 通过 添加 注释 的 方式 进行 记录 ， 以 方便 下 次 查看 。 在 WireShark 中 ， 分 
析 人 员 可 以 对 捕获 文件 和 包 添 加 注释 。 本 章 将 详细 讲解 如 何 添加 注释 信息 。 


8.1 捕获 文件 注释 


当 用 户 处 理 某 个 捕获 文件 后 ， 会 遇 到 一 些 比 较 有 趣 的 数据 。 为 了 方便 下 次 查看 或 者 给 
其 他 人 查看 ， 可 以 为 该 捕获 文件 添加 注释 信息 。 下 面 将 介绍 为 捕获 文件 添加 注释 的 方法 。 
(1) 在 Wireshark 的 状态 栏 中 单 击 添加 注释 按钮 新 ， 如 图 8.1 所 示 的 界面 。 


VZV UY op UU >uucaaeo ar 3q yo yl = 

0030 06 c0 45 dd 00 00 d3 e6 9a 3d c. :~ 

站 Li 上 
Fle: "D:\traces\http-downioad.pcapng"…… | padh 


图 8.1 注释 按钮 窗口 
(2) 单 击 添加 注释 按钮 断后 ， 将 显示 如 图 8.2 所 示 的 界面 。 
FE 


特 
者 


图 8.2 添加 注释 信息 


(3) 在 该 界面 用 户 可 以 输入 任何 长 度 的 注释 信息 。 为 了 不 影响 捕获 文件 的 大 小 ， 在 该 
界面 添加 的 信息 应 尽量 简洁 ， 不 要 内 容 太 多 。 如 果 另 外 一 个 用 户 查 看 ， 他 也 可 能 添加 自己 

如 果 要 查看 一 个 捕获 文件 是 否 包 含有 注释 信息 ， 可 以 单 击 状态 栏 中 的 留 〈 添 加 注释 ) 
按钮 或 选择 Statistics|Summary 命令 查看 。 


82 包 注释 


捕获 文件 的 注释 便于 描述 整个 文件 ， 但 是 有 时 候 用 户 需要 为 单个 数据 包 添加 注释 信 
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息 。 下 面 将 介绍 给 单个 包 添 加 注释 信息 。 


8.2.1 添加 包 注释 


包 注 释 可 以 针对 特定 包 的 数据 进行 描述 ， 如 关注 点 、 错 误 信息 等 。 下 面 讲解 如 何 添 加 
包 注 释 。 

【实例 8-1】 演 示 给 包 添加 注释 信息 。 具 体操 作 步 又 如 下 所 示 。 

(1) 打开 http.pcapng 捕获 文件 。 

(2) 在 Packet List 面板 中 ， 右 键 单 击 需 要 添加 注释 的 包 。 然 后 选择 Packet Comment. 
命令 ， 将 显示 Edit Add Packet Comments 对 话 杠 ， 如 图 8.3 所 示 。 


Ee Edt Yew Go Caotre Araye Scatetcs Telephony Ioog Itermas Hep 
名 辐 硕 面 区 | 四 台 X 邹 | 六 ee 四 守业 | 四国 |@eDI 本 因 罗 其 | 加 
四 gpresson- aear Apply Save 

Protocol Length Info 


40 1,252 
411. 252042000 192; 168 0. 61. 

42 1.252217000 192.168.0.107 61.135. 
43 1.262066000 61.135.169.125 192.168.0.107 
44 1.262142000 192.168.0.1' 机 
45 1.262262000 192.168.0.1( 
46 1.264621000 61.135.185.1 
47 1.264685000 站 


Folow UDP sbeam 
Folow SSL Stream 


图 8.3 为 包 添加 注释 信息 


(3) 在 弹出 的 Edit Add Packet Comments 对 话 框 中 ， 添 加 注释 的 信息 。 然 后 单 击 OK 
按钮 ， 将 会 在 Packet Details 面板 中 添加 Packet comments 行 ， 如 图 8.4 所 示 。 
日 IRONRSIKREEEEEEEEETCEEIIEEESe 


wThis packet shows the first Sm. OO 
田 Frame 39: 66 bytes on wire (528 bits), 66 bytes captured (528 bits) NE 
® Ethernet II, Src: Giga-Byt_c8:4c:89 (1c:6f:65:c8:4c:89), Dst: Tp-Link® 
Internet Protocol Version 4, Src: 192.168.0.107 (192.168.0.107), Dst:. 


国 
IE 


图 8.4 显示 包 注 释 信息 


(4) 从 该 界面 可 以 看 到 ， 添 加 了 Packet comments 行 。 该 包 的 注释 信息 为 This packet 
shows the first YN。 


8.2.2 查看 包 注 释 


如 果 要 查看 一 个 捕获 文件 中 是 否 包 含 包 注释 信息 ， 可 以 通过 单 击 状态 栏 中 的 Expert 


ss 
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Infos 按钮 并 选择 Packet Comment 选项 卡 查看 ， 如 图 8.5 所 示 。 


fl Wireshark: 1049 Expert Infos 


@ Erors: 1 (1) |© wamnos 2 (22) [© Notes: 4 (239) @ hats: 96 (784) |[ ) Detais: 1049 | 团 Packet Comments: 3 
«| 
| 


No 4 Summary 
39 This packet 


图 8.5 添加 的 包 注 释 信息 


从 该 界面 可 以 看 到 ， 有 3 个 数据 帧 (39、45、46) 添加 了 注释 信息 。 在 该 界面 中 ， 单 
击 其 中 一 个 注释 信息 ， 将 会 跳 转 到 对 应 的 数据 包 。 如 果 双 击 该 注释 信息 ， 将 打开 查看 或 编 
全 注意 : 当 使 用 旧 捕 获 文件 格式 打开 一 个 捕获 文件 并 添加 了 包 或 捕获 文件 注释 后 
(如 .pcap ) ， 保 存 该 捕获 文件 时 一 定 要 使 用 pcapng 格式 。 如 果 使 用 其 他 格式 保 
存 捕获 文件 的 话 ， 所 有 注释 将 会 被 删除 。 
如 果 用 户 想 要 快速 地 查看 注释 信息 ， 可 以 在 Packet List 面板 中 添加 注释 列 。 下 面 介 绍 
添加 注释 列 的 方法 。 
打开 一 个 已 添加 有 注释 的 捕获 文件 。 展 开 Packet Details 面板 中 的 Packet comments 会 
话 ， 右 键 单 击 注释 信息 并 选择 Apply as Column 命令 ， 将 显示 如 图 8.6 所 示 的 界面 。 


{ @ http-download pcapng [Wireshark 110.7 (v1107-0-g6b931a1 from master-1.10)] Lo 1 © mE | 
Fle Edt Vew Go Capture Anayze Statstics Telephony Toos Intemas Hep 

oO@#NHA|DEOSD A 中 OF QQQDI 醒 加 罗 关 | 加 
Fiter: 上 Epression.. cear Apply sa 


INo. Time Source Destination 
39 1.252009000 192.168.0.107 61.135.185.194 
到 ] 


Info 
‘et shows the fcpq-tasksn™| 
? 


[Message: This packet shows the first SYN .] 
4 -| » 


©@ 册 [Packet Comments (pkt_comment), 66 ... | Packets: 2973 * Displayed: 2973 (100.096) * Dro... | Profie: Default 
. 一 


图 8.6 添加 注释 列 


从 该 界面 可 以 看 到 已 成 功 添加 了 Comment 列 。 

【实例 8-2】 阅 读 分 析 一 个 恶意 捕获 文件 的 注释 。 

(1) 打开 http-download.pcapng 捕获 文件 。 

(2) 在 状态 栏 中 单 击 留 〈 添 加 注释 ) 按钮 ， 阅 读 关 于 该 捕获 文件 的 注释 信息 ， 并 且 怀 
疑 恶 意 重 定向 。 此 时 单 击 Cancel 按钮 ， 关 闭 Edit or Add Capture Comment 对 话 框 。 

(3) 在 状态 栏 中 单 击 @ (专家 信息 ) 按钮 ， 打 开 专家 信息 对 话 框 。 然 后 在 专家 信息 对 
话 框 中 ， 选 择 Packet Comments 选项 卡 查看 捕获 文件 中 个 别 包 的 注释 ， 如 图 8.7 所 示 。 


ww 
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®@ Erors: 1 (1) |© wamnos: 2 (22) |© Notes: 4 (239) |@ Chats: 96 (784) | | Detats: 1052 


No 4 Summary 


图 8.7 Packet Comments 信息 


(4) 在 该 界面 单 击 任何 一 个 注释 信息 ， 将 会 跳 转 到 捕获 文件 中 对 应 的 包 上 。 这 时 候 多 
花 点 时 间 查 看 包 注 释 和 捕获 文件 ， 将 会 看 到 重 定向 发 送 给 用 户 的 恶意 网 站 。 


8.3 导出 包 注 释 


通常 用 户 计划 打印 一 份 报告 时 ， 可 能 想 要 将 分 析 数 据 包 中 的 注释 导出 到 一 个 .txt 或 .csv 
格式 的 数据 包 中 。 这 时 候 就 需要 知道 如 何 将 包 注 释 信息 导出 。 下 面 将 介绍 导出 包 注 释 的 
方法 。 


8.3.1 使 用 Export Packet Dissections 功能 导出 


在 Wireshark 的 1.10.X 版 本 中 ， 用 户 可 以 通过 复制 或 Export Packet Dissections 功能 ， 
将 所 有 包 注 释 导 出 。 使 用 复制 功能 ， 是 将 该 包 的 注释 信息 粘贴 到 另 一 个 程序 。 但 是 在 
Wireshark 1.8.x 版 本 中 ， 只 能 使 用 Export Packet Dissections 功能 实现 导出 包 注 释 。 
【实例 8-3】 导 出 包 注释 。 具 体操 作 步 又 如 下 所 示 。 
(1) 打开 捕获 文件 http-download.pcapng。 
(2) 使 用 pkt_comment 过 滤器 ， 过 滤 有 注释 的 包 ， 如 图 8.8 所 示 。 
EEC 


He Edt Yew Go Capture Anahze Statetics Telephony JIook Intemak Hep 
站 图 大 是 大 | 巴 钙 其 多 | 台中 四 于 生 | 轩 加 QQDlI 可 国电 基 | 台 


日 [Expert Info (Comment/Commenr): This Packer 5| 
Message: This packet shows the first SYN .] 
We Tevel: Comment] 司 


3 66 Bytes on wire 5 Be Bytes Captured CII 
a Ethernet II, Src: Giga-Byt ca4c: 89 (Hc:6f 5: cs4e:89), Dst: Tp nk f9:3c:e0 Em e8:73:f9:3 
田 Internet Protocol Version 4, Src: 192.168.0.107 (192.168.0.107), Dst: 61.135.185.194 (61.135.1 
Transnission Control Prorocol, Src Port: cpa-tasksmart (3201), Dst Port: htrp (80), seq: 0 Le ~ 


图 8.8 过 滤 注 释 包 
(3) 从 该 界面 的 状态 栏 中 可 以 看 到 ， 有 3 个 数据 包 添 加 了 注释 信息 。 此 时 展开 任何 一 


二 
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个 包 的 Packet comments 部 分 的 所 有 行 ， 将 会 看 到 注释 的 详细 信息 ， 如 图 8.8 所 示 。 
(4) 使 用 Plain Text 格式 导出 包 解 析 器 。 在 菜单 栏 中 依次 选择 File|Export Packet 
Dissectionslas"Plain Text"file 命令 ， 将 显示 如 图 8.9 所 示 的 界面 。 


图 8.9 指定 导出 包 的 位 置 和 文件 名 


(5) 在 该 界面 选择 导出 在 Packet details 面板 中 所 有 显示 的 包 ， 并 取消 Packet summary 
line 复 选 框 。 然 后 指定 导出 包 的 文件 位 置 及 文件 名 。 为 了 方便 记忆 ， 可 以 使 用 与 捕获 文件 
相同 的 名 。 

(6) 打开 导出 的 包 注释 的 文件 ， 将 显示 如 图 8.10 所 示 的 界面 。 


8.10 导出 包 注 释文 件 
(7) 从 该 界面 可 以 看 到 导出 了 包 注 释 的 详细 内 容 。 
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8.3.2 使 用 复制 功能 导出 包 


在 Wireshark 目前 最 新 的 版 本 中 ， 可 以 使 用 复制 功能 导出 所 有 包 注 释 和 基本 的 捕获 文 
件 统计 信息 。 下 面 介绍 通过 复制 功能 ， 将 所 有 数据 粘贴 到 另 一 个 程序 。 

(1) 在 菜单 栏 中 依次 单 击 Statistics|Comments Summary 命令 按钮 ， 将 打开 如 图 8.11 所 
示 的 界面 。 


ry Greated by Wreshark (v1.10.7-0-g6b93131 from master-1.10) 


Name: A 
Length: 1990122 bytes 
Encapsulation: Ethemet 

| Time: 

Frst packet: 2014-07-03 16:11:55 
Last packet: 2014-07-03 16:12:20 
Elapsed: 00:00:24 


‘05: 64-bit Wndows 7 Service Pack 1, buid 7601 
5 Dumpcap 1.10.7 (v1.10.7.0-96b93131 from master-1.10) 


图 8.11 注释 包 摘要 信息 


(2) 该 界面 显示 了 捕获 文件 中 所 有 的 注释 包 。 此 时 单 击 Copy 按钮 ， 即 可 将 所 有 信息 
复制 到 另 一 个 程序 。 如 复制 到 记事 本 中 ， 如 图 8.12 所 示 。 


图 8.12 复制 注释 摘要 信息 
【实例 8-4】 导 出 恶意 的 重 定向 包 注 释 。 有 具体 操作 步骤 如 下 所 示 。 
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(1) 打开 http-download.pcapng 捕获 文件 。 
(2) 使 用 pkt_comment 显示 过 滤器 ， 过 滤 包 含 注 释 的 数据 包 。 


(3) 在 Packet details 面板 中 展开 第 46 帧 的 Packet comments 部 分 ， 右 键 单 击 实际 的 注 
释 信息 ， 并 选择 Apply as Column 命令 


Fer 
[No Time Source Dectinati 
39 1.252009000 192-168.0-107 61.135.185.194 
45 1.262262000 192.168.0.107 61.135.169.125 
3 60-107 216. 36.67.7 
168.0.107 218.26.67.75 


a Ethernet 11, Src: Tp-LinkT. 
Internet Prorocol Version 4 


(4) 在 菜单 栏 中 依次 选择 File|Export Packet Dissectionslas "CSV"(Comma Separated 
Values packet summary)file 命令 ， 将 显示 如 图 8.14 所 的 界面 。 


Vs 
BE ma) 


[EY Cems sepatel Yalues sumanry) (eesv) 


图 8.14 设置 导出 包 注 释 格式 


(5) 在 该 界面 设置 导出 包 的 位 置 和 文件 名 ， 并 且 设置 导出 的 范围 和 格式 。 将 导出 的 范 
围 和 格式 分 别 设置 为 All packets 和 Packet summary line， 然 后 单 击 “ 保 存 ” 按 钮 。 
(6) 使 用 另 一 个 程序 打开 保存 的 CSV 文件 ， 将 显示 如 图 8.15 所 示 的 界面 。 


ETE 


Hi oad csv - Microsof Ece 
i | 要 和 5 同人 公 式 数 委 ”二 


lend Te Teom 
Ee -1 -ANw 理 国 = 交 - 


-| 四 -| 血 -A-| 史 - 要 要 江 于 宰 国 - 


图 8.15 导出 CSV 格式 的 包 注释 


(7) 从 该 界面 不 仅 可 以 看 到 详细 的 包 注 释 信息 ， 而 且 在 Packet List 面板 中 隐藏 的 列 也 
被 导出 到 该 文件 中 。 
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在 前 面 章节 中 介绍 了 使 用 Wireshark 图 形 界面 进行 捕获 、 过 滤 、 构 建 图 表 的 方式 快速 
分 析 数 据 包 。 界 面 操作 方式 不 方便 实施 的 时 候 ， 可 以 使 用 命令 行 工具 来 代替 。 使 用 命令 行 
工具 ， 可 以 实现 捕获 、 分 割 和 合并 数据 。 本 章 将 介绍 使 用 命令 行 工 具 ， 如 何 实施 一 些 常用 
的 操作 。 


9.1 将 大 文件 分 割 为 文件 集 


通常 使 用 Wireshark 处 理 一 个 较 大 的 捕获 文件 时 ， 可 能 处 理 速 度 会 很 慢 ， 或 者 甚至 没 
响应 。 当 捕获 文件 超过 100MB 时 ， 使 用 显示 过 滤器 、 添 加 列 或 构建 图 表 都 可 能 很 慢 。 为 
了 快速 地 分 析 数 据 , 这 时 候 可 以 将 该 文件 分 割 为 文件 集 。 本 节 将 介绍 如 何 进行 大 文件 分 割 。 


9.1.1 添加 Wireshark 程序 目录 到 自己 的 位 置 


在 Wireshark 中 可 以 使 用 Editcap 程序 将 一 个 大 文件 分 割 成 一 个 文件 集 。Editcap 程序 
保存 在 Wireshark 程序 目录 中 。 如 果 用 户 不 能 确定 自己 Wireshark 程序 的 位 置 ， 可 以 通过 在 
Wireshark 菜单 栏 中 依次 选择 Help|About Wireshark|Folders 命令 ， 查 看 该 目录 的 位 置 。 如 果 
用 户 想 要 指定 Editcap 程序 的 位 置 ， 就 需要 将 整个 Wireshark 程序 目录 添加 到 自己 的 位 置 。 

一 旦 Wireshark 程序 目录 添加 成 功 后, 就 可 以 打开 命令 提示 符 /终端 窗口 执行 editcap 命 
令 了 。 使 用 editcap-h 将 查看 该 命令 的 所 有 参数 。 可 以 使 用 editcap 命令 的 -c 或 -i 选项 ， 分 
别 以 包 编 号 或 以 秒 为 单位 的 时 间 分 割 捕获 文件 。 


9.1.2 使 用 Capinfos 获取 文件 大 小 和 包 数 


Capinfos 是 一 个 命令 行 工 具 ， 它 可 以 查看 关于 捕获 文件 的 基本 信息 。Capinfos 包括 在 
Wireshark 中 ， 保 存在 Wireshark 程序 目录 中 。 下 面 介绍 Capinfos 工具 的 使 用 。 

Capinfos 工具 的 语法 格式 如 下 : 

capinfos <filename> 

如 查看 http-download.pcapng 捕获 文件 的 基本 信息 。 执 行 命令 如 下 : 

capinfos http-download.pcapng 


执行 以 上 命令 后 ， 显 示 结果 如 下 所 示 。 
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C:\Program Files (x86)\Wireshark>capinfos http-download.pcapng 


File name: http-download.pcapng # 捕 获 文件 名 
File type: Wireshark/... — pcapng # 捕 获 文件 类 型 
File encapsulation: Ethernet # 文 件 封装 
Packet size limit: file hdr: (not set) # 包 大 小 限制 
Number of packets: 2973 # 包 数 

File size: 1990 kB # 文 件 大 小 
Data size: 1889 kB # 数 据 大 小 
Capture duration: 25 seconds # 捕 获 持续 的 时 间 
Start time: Thu Jul 03 16:11:55 2014 # 捕 获 起 始 时 间 
End time: Thu Jul 03 16:12:20 2014 # 捕 获 结束 时 间 
Data byte rate: 75 kBps # 数 据 字 节 比特 率 
Data bit rate: 605 kbps # 数 据 位 比特 率 
Average packet size: 635.48 bytes # 平 均 包 大 小 
Average packet rate: 119 packets/sec # 平 均 包 比特 率 
SHAl: 2c633073e440a7d9ef053d15be0279fc95116490 ”# 哈 希 校 验 码 
RIPEMD160 : a596d9efebf7f6fc2335802019f481afb7749f6f “ #RRCE 校 验 码 
MD5 : 64f62ed0b56c1688eccd18f94c9bc84c #MD5 校 验 码 
Strict time order: True # 严 格 的 时 间 顺 序 


C:\Program Files (x86)\Wireshark> 


从 该 界面 可 以 看 到 http-download.pcapng 捕获 文件 的 基本 信息 ， 包 括 文件 类 型 、 封 装 、 
包 大 小 限制 、 包 数 、 文 件 大 小 及 时 间 等 。 


9.1.3 分割 文件 


通过 使 用 Capinfos 命令 查看 包 的 基本 信息 ， 可 以 判断 出 哪些 文件 较 大 。 对 于 大 的 捕获 
文件 ， 就 可 以 使 用 editcap 命令 分 割 。 下 面 介 绍 分 割 文件 的 方法 。 

【实例 9-1】 演 示 在 Windows 下 将 apcapng 捕获 文件 分 割 成 一 个 基于 包 数 的 文件 集 。 
分 割 出 文件 集 的 文件 名 为 aset*.pcapng。 上 有 具体 操作 步骤 如 下 所 示 。 

(1) 打开 Windows DOS 命令 窗口 。 

(2) 进入 Editcap 程序 所 在 的 目录 。 然 后 运行 editcap 命令 ， 如 下 所 示 。 


C:\Program Files (x86)\Wireshark>editcap -c 1000 a.pcapng aset.pcapng 


以 上 命令 表示 将 捕获 文件 apacpng 分 割 成 以 aset*.pcapng 为 名 称 的 文件 集 ， 并 且 分 割 
后 每 个 文件 的 包 数 最 大 为 1000。 执 行 以 上 命令 后 ， 将 在 当前 目录 下 生成 多 个 以 aset_ * 开 头 
的 文件 。 

(3) 查看 生成 的 文件 集 。 执 行 命令 如 下 所 示 。 

C:\Program Files (x86)\Wireshark>dir aset*.* 

驱动 器 C 中 的 卷 没有 标签 。 


卷 的 序列 号 是 F43A-67C5 
C:\Program Files (x86)\Wireshark 的 目录 


2014/07/04 14:01 210,156 aset 00000 20140704112512.pcapng 
2014/07/04 14:01 252,816 aset 00001 20140704112823.pcapng 
2014/07/04 14:01 328,788 aset 00002 20140704113131.pcapng 
2014/07/04 14:01 219,308 aset 00003 20140704113424.pcapng 
2014/07/04 14:01 203,652 aset 00004 20140704113808.pcapng 
2014/07/04 14:01 185,336 aset 00005 20140704114106.pcapng 
2014/07/04 14:01 257,616 aset 00006 20140704114251.pcapng 


“Ts 
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2014/07/04 
2014/07/04 
2014/07/04 
2014/07/04 
2014/07/04 
2014/07/04 
2014/07/04 
2014/07/04 
2014/07/04 
2014/07/04 
2014/07/04 


些 文件 名 称 的 编号 是 连续 的 。 


14:01 
E40T 
14:01 
14:01 
14:01 
14:01 
14:01 
14:01 
14:01 
14:01 
14:01 


T8E 个 文件 


241,472 aset 
188,752 aset 
316,532 aset 
450,208 aset 
229,748 aset 
247,288 aset 
219,412 aset 
230,072 aset 
234,100 aset 
245,768 aset 
134,012 aset | 
4,395,036 字 节 


00007 
00008 
00009 
00010 
00011 
00012 
00013 
00014 
00015 
00016 
00017 


0 个 目录 53,583,089, 664 可 用 字 节 
C:\Program Files (x86)\Wireshark> 


以 上 输出 的 信息 显示 了 将 apcapng 分 割 成 的 多 个 文件 ， 这 些 文件 就 是 一 个 文件 集 。 这 


20140704114517.pcapng 
20140704114808 .pcapng 
20140704115157.pcapng 
20140704115418 .pcapng 
20140704115621 .pcapng 
20140704115942 .pcapng 
20140704120253.pcapng 
20140704120556.pcapng 
20140704120919.pcapng 
20140704121301 .pcapng 
_20140704121534.pcapng 


【实例 9-2】 演 示 在 Windows 下 基于 时 间 的 方式 ， 分 割 time.pcapng 捕获 文件 。 具 体操 


作 步 又 如 下 所 示 。 


(1) 打开 Windows DOS 命令 窗口 。 

(2) 进入 Editcap 程序 所 在 的 目录 。 执 行 如 下 所 示 的 命令 。 

C:\Program Files (x86)\Wireshark>editcap -i 360 time.pcapng timeset .pcapng 

以 上 命令 表示 将 捕获 文件 tme.pcapng 分 割 成 以 timeset*.pcapng 为 名 称 的 文件 集 , 并且 
分 割 出 的 每 个 文件 包含 360 秒 的 数据 。 

(3) 查看 分 割 的 文件 集 。 执 行 命令 如 下 所 示 : 


C:\Program Files (x86)\Wireshark>dir timeset*.* 


驱动 器 C 中 的 卷 没 有 标签 。 
卷 的 序列 号 是 F43A-67C5 


C:\Program Files (x86)\Wireshark 的 目录 


2014/07/04 
2014/07/04 
2014/07/04 
2014/07/04 
2014/07/04 
2014/07/04 
2014/07/04 
2014/07/04 
2014/07/04 


14:14 
14:14 
14:14 
14:14 
14:14 
14:14 
14:14 
14:14 
14:14 


9 个 文件 


447,648 timeset 00000 20140704112512. 
461,908 timeset 00001 20140704113112. 
543,552 timeset 00002 20140704113712. 
507,160 timeset 00003 20140704114312. 
838,208 timeset 00004 20140704114912. 
369,804 timeset 00005 20140704115512. 
444,844 timeset 00006 20140704120112. 
404,528 timeset 00007 20140704120712. 
374,936 timeset 00008 20140704121312. 


4,392,588 字 节 


0 个 目录 53,573, 914, 624 可 用 字 节 
从 以 上 输出 信息 中 ， 可 以 看 到 将 time.pcapng 文件 分 割 成 了 9 个 小 的 捕获 文件 。 这 9 


个 捕获 文件 的 编号 是 00000 一 00008。 
(4) 此 时 可 以 打开 任何 一 个 小 的 文件 ， 查 看 文件 集中 的 文件 。 打 开 一 个 文件 后 ， 在 菜 
单 栏 中 依次 选择 File|File Set|List Files 命令 ， 将 显示 如 图 9.1 所 示 的 界面 。 
(5) 从 该 界面 可 以 看 到 该 文件 集中 包含 18 个 文件 。 在 该 界面 


单 击 任 何 文件 前 面 的 € 


pcapng 
pcapng 
pcapng 
pcapng 
pcapng 
pcapng 
pcapng 
pcapng 
pcapng 


按 


钮 ， 将 会 快速 地 打开 该 文件 。 如 果 当 前 使 用 了 显示 过 滤器 的 话 ， 该 显示 过 滤器 将 会 应 用 到 
每 个 打开 的 文件 上 。 
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Ml wireshanc 18 Filesin Set ee 


Flename Created Gst Modfied Erm 
aset 00000_20140704112512.pcapng 2014-07-04 11:25:12 2014-07-04 14:01:29 210156 Bytes 
@ Rset 00001 20140704112823.pcapngj 2014-07-04 11:28:23 2014-07-04 14:01:29 252816 Bytes 
aset_00002_20140704113131.pcapng 2014-07-04 2014-07-04 14:01:29 328788 Bytes 
aset 00003_20140704113424.pcapng 2014-07-04 11:34:24 2014-07-04 14:01:29 219308 Bytes 
© aset .00004_20140704113808.pcapng 2014-07-04 11:38:08 2014-07-04 14:01:29 203652 Bytes 
aset 00005_20140704114106.Pcapng 2014-07-04 11 2014-07-04 14:01:29 185336 Bytes 
D aset_00006 20140704114251.pcapng 2014-07-04 11:42: 2014-07-04 14:01:29 257616 Bytes 
aset_00007_20140704114517.pcapng 2014-07-04 11:45:17 2014-07-04 14:01:29 241472 Bytes 
D aset_00008_20140704114808.pcapng 2014-07-04 11:48:08 2014-07-04 14:01:29 188752 Bytes 
© aset 00009_20140704115157.pcapng 2014- 0 014-07-04 14:01:29 316532 Bytes 
aset 00010 20140704115418.pcapng 2014 2014-07-04 14:01:29 450208 Bytes 
| aset_00011_20140704115621.pcapng 2014-07-04 11:56;21 2014-07-04 14;01;29 229748 Bytes 
aset 00012_20140704115942.pcapng 2014-07-04 11:59:42 201 
aset 00013_20140704120253.Pcapng 2014-07-04 12;02 2014-07-04 14:01:29 219412 B) 
aset 00014_20140704120556.pcapng 2014-07-04 12; 014-07-04 14;01:29 23007; 
aset 00015_20140704120919.pcapng 2014-07-04 12; 2014-07-04 14;01;29 234100 Bytes 
aset 00016_20140704121301.pcapng 2014-07-04 12:13:01 2014-07-04 14:01:29 245768 Bytes 
aset_ .00017_20140704121534.pcapnqg 2014-07-04 12;15:34 2014-07-04 14;01;29 134012 Bytes ~ 
In drectory: C:\Program Fies (x86)\Wreshark 


各 


7-04 14:01:29 247288 Bytes 


图 9.1 文件 集 


【实例 9-3】 演 示 在 Windows 下 分 割 http-port.pcapng 捕获 文件 为 文件 集 ， 并 使 用 显示 
过 滤器 。 有 具体 操作 步骤 如 下 所 示 。 

(1) 打开 Windows 下 的 命令 提示 符 。 

(2) 切换 到 Editcap 程序 所 在 的 目录 。 执 行 命令 如 下 所 示 。 

C:\Users\lyw>cd "C:\Program Files (x86)\Wireshark" 

C:\Program Files\Wireshark> 

本 书 中 Wireshark 程序 保存 在 C:\Program Files (x86)\Wireshark 位 置 。 用户 的 Wireshark 
程序 位 置 可 能 和 本 书 的 位 置 不 同 。 

(3) 使 用 capinfos 命令 查看 http-port.pcapng 捕获 文件 的 基本 信息 。 执行 命令 如 下 所 示 。 


C:\Program Files\Wireshark>capinfos http-port.pcapng 


File name: http-port .pcapng 

File type: Wireshark - pcapng 

File encapsulation: Ethernet 

Packet size limit: file hdr: (not set) 

Number of packets: 70 

File size: 73757276 bytes 

Data size: 71361025 bytes 

Capture duration: 67 seconds 

Start time: Fri Jun 20 13:35:36 2014 

End time: Fri Jun 20 13:36:43 2014 

Data byte rate: 1059619.52 bytes/sec 

Data bit rate: 8476956.19 bits/sec 

Average packet size: 1012.54 bytes 

Average packet rate: 1046.49 packets/sec 

SHA1 : df0d42457437d47£f5fc07332437cd043737a30b5 
RIPEMD160: 3292d1f9fllbdelcl2bbae9292a0bc39fec8f0el 
MD5: facbf81512d0c3c9cd184ff6d82a4al3 

Strict time order: True 


从 该 界面 可 以 看 到 该 文件 包 数 为 70k， 这 里 的 k 表 示 1000 个 数量 集 ， 不 是 单位 KB。 


"180。 
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本 例 中 将 该 文件 分 割 成 每 个 文件 为 5000 个 包 的 文件 集 。 
全 注意 ! 在 以 上 输出 信息 中 ， 当 数据 包 很 多 时 ， 会 使 用 数量 集 k 取代 。 但 是 在 1.8.x 版 本 


流 


包含 


中 ，Number of packets 的 值 不 进行 替换 。 显 示 的 数据 包 数 和 在 Wireshark 状态 栏 
中 显示 的 数 是 相同 的 。 


(4) 使 用 editcap 命令 分 割 文件 。 执 行 命令 如 下 所 示 。 


C:\Program Files\Wireshark>editcap -c 5000 http-port.pcapng port.pcap 


执行 以 上 命令 后 ， 将 会 把 http-port.pcapng 捕获 文件 分 割 成 以 port*.pcapng 为 名 的 文件 
并 且 每 个 文件 中 最 多 包含 5000 个 包 。 

(5) 查看 生成 的 文件 集 ， 如 下 所 示 。 

C:\Program Files\Wireshark>dir port*.pcapng 

驱动 器 C 中 的 卷 没有 标签 。 


卷 的 序列 号 是 3814-CB70 
C:\Program Files\Wireshark 的 目录 


2014/07/04 14:54 4,840,852 port 00000 20140620133536.pcapng 
2014/07/04 14:54 5,403,972 port 00001 20140620133614.pcapng 
2014/07/04 14:54 5,189,464 port 00002 20140620133615.pcapng 
2014/07/04 14:54 5,300,408 port 00003 20140620133617.pcapng 
2014/07/04 14:54 5,275,964 port 00004 20140620133622.pcapng 
2014/07/04 14:54 5,285,880 port 00005 20140620133624.pcapng 
2014/07/04 14:54 5,281,608 port 00006 20140620133627.pcapng 
2014/07/04 14:54 5,188,020 port 00007 20140620133628.pcapng 
2014/07/04 14:54 5,225,956 port 00008 20140620133631.pcapng 
2014/07/04 14:54 5,286,448 port 00009 20140620133633.pcapng 
2014/07/04 14:54 5,252,028 port 00010 20140620133634.pcapng 
2014/07/04 14:54 5,215,796 port 00011 20140620133635.pcapng 
2014/07/04 14:54 5,261,420 port 00012 20140620133637.pcapng 
2014/07/04 14:54 5,261,472 port 00013 20140620133639.pcapng 
2014/07/04 14:54 491,908 port 00014 20140620133640.pcapng 


15 个 文件 73,761,196 字 节 
0 个 目录 105, 420,476, 416 可 用 字 节 


从 该 界面 可 以 看 到 生成 了 15 个 小 文件 ， 而 且 每 个 文件 名 都 是 以 port 开始 的 ， 并 且 还 
文件 编号 和 时 间 戳 。 
(6) 启动 Wireshark 工具 ， 并 在 菜单 栏 中 依次 选择 FilelOpen 命令 ， 选 择 打开 文件 集中 


的 一 个 文件 (本 例 中 选择 打开 编号 为 _00003 的 文件 ) 。 


(7) 在 显示 过 滤器 区 域 输入 tcp.analysis.flags && ltcp.analysis.window_update 过 滤器 ， 


将 显示 如 图 9.2 所 示 的 界面 。 


{port_00005_20140620133624.pcapng [Wireshark 1.10.7 (v110.7-0-96b931a1 from master-1.10)] [esl 5 
Ele Edt Vew Go Capture Anayze Statstics Telephony JIooks Intermas Hep 
a@R#ld| 电 的 多 | 人 外 写 于 和 | 因 国 aaQQD 芒 国 > 


[9] 加 Fie: “C:\Users\yw\Deskt... | Packets: 5000 * Displayed: 0 (0.0%) * Load time: 0:00.... | Profie: Defauk 


图 9.2 过 滤 的 数据 包 


ws 
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(8) 从 该 界面 可 以 看 到 没有 匹配 以 上 过 滤器 的 数据 包 。 此 时 在 文件 集中 浏览 分 割 的 其 
他 文件 。 在 菜单 栏 中 依次 单 击 FilelFile SetlList Files 命令 ， 将 打开 如 图 9.3 所 示 的 界面 。 


国 wireshadc 15 Files in Set ey | 


Flename 
port.00000 20140620133536.pcapng 20 
port 00001 20140620133614.pcapng 
port.00002_20140620133615.pcapng 
port 00003_20140620133617.pcapng 
png 


51894 


53004 


527 


64 Bytes 
5285880 Bytes 
4 5281608 Bytes 


加 jpor: 
Port_00006_20140620133627.pcapng 
Port-00007_20140620133628.pcapng 
Port-00008_20140620133631.pcapng 
Port-00009_20140620133633.pcapng 
port 00010 20140620133634.pcapng 
Port-00011_20140620133635.pcapng 
port 00012_20140620133637.pcapng 6 3 54:54 
Port-00013_20140620133639.pcapng 36:39 2014.07.04 14:54:54 
port_00014_20140620133640.pcapnq 06.20 0 54:54 ”491908 Bytes 

~ In directory: C:\Program Fies\Wreshark 


er 


图 9.3 文件 集 对 话 框 


(9) 在 该 界面 单 击 每 个 文件 前 面 的 加 按钮 ， 将 可 以 浏览 其 他 文件 内 容 。 并 且 打 开 的 文 
件 ， 将 会 应 用 tcp.analysis.flags && ltcp.analysis.window_update 显示 过 滤器 。 如 分 别 移动 到 
编号 为 00000、00001 和 00002 文件 中 ， 匹 配 以 上 过 滤器 的 界面 如 图 9.4、 图 9.5 和 图 9.6 


所 示 。 


“Rs 


A port_00000_20140620133536.pcapng [Wireshark 1.107 (v110.7-0-96b931a1 from master-1.. lls EE 
Ele Edt Vew Go Capture Anayze Statstxs Telephony Toos Intemas Hep 
©O@RlAIDOXDSAP 人 中 OF QQQOI 硬 > 


Fikter: tep.analysis lags &B Itcp.analysis.window update | | Expression.. Clear Apply Save 


INo， Time Source Destination Protocol Length Comment a 
2 44225000 192.168 8 74.125.23.1 


| 四 Vb 


© | Fle: CNUsersWw\De… | Packets: 5000 Loa... | profie: Defaukt 


图 9.4 00000 文 件 


port_00001_20140620133614.pcapng [Wireshark 1.10.7 (v1.107-0-g6b931a1 from master-1... ul: Ell) 


He Edt Vew Go Capture Anayze Statstics Telephony Toog Intemas Hep 
OO 大 玫 | 白 引 关 多 | 人 “外 名 了 和 主 | 转 国 aQaDl > 


Fiter: tep.analysis flags Bt cp analysiswindow_update | Expression.. Clear Apply Save 


No. Time Source Destination Protocol Length Comment 


192.168.0.108 


© Fle: CNUse 


.| Packets: 5000 * Load time: 0:00.234 | Profie: Defauit 


图 9.5 00001 文件 
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port_00002 20140620133615 .pcapng [Wireshark 1107 (wL107-0-g6b931a1 from master-1.. ehh | 
| Be Edt Vew Go Capture Anayze Statstics Telephony Toos intemas Hep 
OOS A 人 OT QQQ 吕 II 如 


Fiker tcp.analysis.flags && cp analysiswindow_update 了 | Expression.. Clear Apply Save 


Destination Protocol Length Comment 


4 天 
(© | Fie: CNWUsersWw\De… | packets: S000 | Load tme: … | Profle: Defauk 
图 9.6 00002 文 件 


(10) 从 图 9.4、 图 9.5 和 图 9.6 的 状态 栏 中 可 以 看 到 , 每 个 文件 中 匹配 tcp.analysis.flags 
&& ltcp.analysis.window_update 过 滤器 的 数据 包 数 。 如 果 不 再 做 其 他 操作 的 话 ， 单 击 Close 
按钮 关闭 文件 集 对 话 框 。 


9.2 合并 多 个 捕获 文件 


当 用 户 想 要 查看 所 有 数据 时 ， 通 常 需要 将 几 个 小 文件 合并 起 来 。 如 构建 所 有 数据 的 图 
表 、 使 用 显示 过 滤器 查找 关键 字 、 启 动 分 层 协议 对 话 框 查看 可 疑 的 协议 或 应 用 程序 等 。 本 
节 将 介绍 如 何 合并 多 个 捕获 文件 。 

在 Wireshark 中 ， 使 用 Mergecap 程序 将 几 个 小 文件 合并 成 一 个 大 文件 。 在 进行 合并 文 
件 操作 前 ， 首 先 要 确定 Mergecap 程序 的 位 置 。 确 认 Mergecap 程序 的 位 置 后 ， 可 以 使 用 
mergecap-h 命令 查看 其 帮助 信息 。 使 用 Mergecap 可 以 两 种 方法 合并 文件 ,分别 是 以 帧 时 间 
截 或 特定 的 顺序 进行 合并 。Mergecap 默认 是 以 帧 时 间 戳 进行 合并 捕获 文件 的 。 

【实例 9-4】 使 用 通配符 合并 一 系列 文件 。 有 具体 操作 步骤 如 下 所 示 。 

(1) 打开 Windows DOS 命令 提示 符 或 Linux 终端 窗口 〈 本 例 以 Windows 为 例 ) 。 

(2) 切换 到 Mergecap 程序 所 在 的 目录 。 查 看 前 面 创建 的 捕获 文件 集 ， 执 行 如 下 所 示 
的 命令 。 


C:\Program Files\Wireshark>dir port*.pcapng 


执行 以 上 命令 后 ， 将 会 输出 port.pcapng 文件 集中 的 所 有 文件 。 
(3) 使 用 mergecap 命令 将 每 个 小 文件 进行 合并 。 执 行 命令 如 下 所 示 。 


C:\Program Files\Wireshark>mergecap -w http-portset.pcapng port*.* 


执行 以 上 命令 后 , 会 将 以 port*.* 为 名 称 的 所 有 文件 合并 成 名 为 http-portset.pcapng 的 捕 
获 文件 。 

(4) 查看 合并 成 的 新 文件 。 执 行 命令 如 下 所 示 : 

C:\Program Files\Wireshark>dir http-portset .pcapng 

驱动 器 C 中 的 卷 没 有 标签 。 

卷 的 序列 号 是 3814-CB70 

C:\Program Files\Wireshark 的 目录 


人 
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2014/07/04 15:58 73,757, 676 http-portset.pcapng 
9 个 冯 件 73,757,676 字 节 
0 个 目录 105,275,863, 040 可 用 字 节 
以 上 输出 的 信息 显示 了 合并 文件 的 基本 信息 。 从 输出 的 信息 中 ， 可 以 发 现 该 文件 与 分 
割 之 前 portpcapng 文件 的 大 小 不 同 。 这 是 因为 在 文件 分 割 过程 中 , 捕获 文件 注释 被 删除 了 。 
在 合并 过 程 中 ， 注 释 又 被 添加 到 合并 文件 中 ， 如 图 9.7 所 示 。 
A Edit or Add Capture Comments le 


Fie created by merging: 

File1: port 00000 20140620133536.pcapng 
File2: port_00001_20140620133614.pcapng 
File3: port_00002_20140620133615.pcapng 
File4: port_00003_20140620133617.pcapng 
Fle5: port_00004_20140620133622.pcapng 
Fle6: port_00005_20140620133624.pcapng 


File7: port_00006_20140620133627.pcapng 
Fle8: port_00007_20140620133628.pcapng 
Fle9: port_00008_20140620133631.pcapng 


Help 


图 9.7 注释 信息 
(5) 从 该 界面 可 以 看 到 捕获 文件 的 注释 信息 。 


9.3 命令 行 捕获 数据 


在 Wireshark 程序 目录 中 ， 包 含 两 个 命令 行 捕获 工具 。 这 两 个 工具 分 别 是 Dumpcap 和 
Tshark。 当 不 能 以 图 形 界 面 方式 捕获 数据 时 ， 可 以 在 命令 行使 用 dumpcap.exe 或 tshark.exe 
程序 实施 捕获 。 本 节 将 介绍 使 用 命令 行 捕获 数据 。 


9.3.1 Dumpcap 和 Tshark 工具 


Dumpcap 仅 是 一 个 捕获 工具 。 当 运行 Tshark 时 ， 实 际 上 是 调用 dumpcap.exe 应 用 程序 
实现 捕获 功能 。Tshark 包含 额外 的 post-capture 参数 ， 所 以 在 很 多 情况 下 使 用 它 。 如 果 内 存 
不 是 很 大 ， 就 直接 使 用 dumpcap 或 者 Tshark。 

使 用 Dumpcap 或 Tshark 工具 ， 可 以 在 命令 行 捕获 .pcapng 格式 的 文件 。 这 两 个 工具 保 
存在 Wireshark 程序 文件 目录 中 ， 并 且 它 们 都 可 以 使 用 捕获 过 滤器 和 各 种 捕获 设置 。 下 面 
分 别 介绍 使 用 Dumpcap 和 Tshark 工具 捕获 数据 。 


1. 使 用 Dumpcap 捕 获 数据 


如 果 想 更 多 地 了 解 dumpcap 命令 的 参数 ， 可 以 执行 dumpcap-h 命令 。 下 面 介绍 在 命令 
行使 用 Dumpcap 捕获 数据 。 
(1) 执行 dumpcap-D 命令 ， 查 看 本 机 可 用 的 接口 。 如 下 所 示 。 


C:\Program Files (x86)\Wireshark>dumpcap -D 
1. \Device\NPF {CCF39C8C-8C9F-4867-9D6B-41956FFB4742} (VMware Network Adapter VM 
net8) 


. 184 . 
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2. \Device\NPF {93AFB8C4-5C97-4F2A-9C58-FDE869DA0DE7} (本 地 连接 ) 
3. \Device\NPF {570A755F-4140-48A2-8D2B-16678F985638} (VMware Network Adapter VM 
net1) 


4. \Device\NPF {F3747D03-2700-4B29-8280-5F052EF1753A} (本 地 连接 2) 


从 以 上 输出 信息 中 ， 可 以 看 到 当前 主机 中 有 4 个 接口 。 
(2) 捕获 数据 。 在 捕获 数据 时 ， 可 以 使 用 -c 或 -a 选项 指定 停止 捕获 数据 包 的 条 件 。 本 


例 中 选择 捕获 第 4 个 接口 上 的 数据 ， 并 且 当 捕获 文件 达到 1000KB 时 自动 停止 捕获 。 执 行 
命令 如 下 所 示 。 


C:\Program Files (x86)\Wireshark>dumpcap -i 4 -a filesize:1000 -w 1000kb. 
pcapng 

Capturing on ' 本 地 连接 2' 

File: 1000kb.pcapng 

Packets captured: 3313 

Packets received/dropped on interface ' 本 地 连接 2': 3313/0 (pcap:0/dumpcap:0 
/flushed:0) (100.0%) 


从 输出 的 信息 中 可 以 看 到 捕获 的 文件 名 、 数 据 包 数 。 以 上 命令 中 ， 每 个 选项 的 含义 如 


下 所 示 。 


口 -i4: 指定 捕获 接口 4 上 的 数据 。 
口 -a filesize:1000: 表示 捕获 文件 大 小 为 1000KB 时 ， 自 动 停止 捕获 。 
口 -w 1000kb.pcapng: 表示 指定 捕获 的 文件 名 称 为 1000kb.pcapng。 


全 注意 : 以 上 命令 中 -a filesize:1000 选项 在 Wireshark 1.10X 版 本 中 存在 Bug,， 运行 后 无 法 


时 ， 


生成 1000KB 的 捕获 文件 。 该 命令 只 有 在 Wireshark 1.8.X 版 本 中 生效 。 
(3) 查看 生成 捕获 文件 1000kb.pcapng 的 大 小 。 执 行 命令 如 下 所 示 。 


C:\Program Files (x86)\Wireshark>dir 1000kb.pcapng 
驱动 器 C 中 的 卷 没有 标签 。 
卷 的 序列 号 是 3814-CB70 
C:\Program Files\Wireshark 的 目录 
2014/07/07 11:09 1,024,788 1000kb.pcapng 
1 个 文件 1,024,788 字 节 
0 个 目录 105,002, 991, 616 可 用 字 节 


从 以 上 输出 的 信息 中 ， 可 以 看 到 生成 的 捕获 文件 1000kb.pcapng 大 小 为 1000KB。 
2. 使 用 Tshark 捕 获 数据 


Tshark 是 依赖 dumpcap 捕获 数据 的 。 所 以 , 当 在 命令 行 输入 Tshark-c 100-w 100.pcapng 
实际 上 是 dumpcap 在 捕获 数据 。Tshark 可 以 用 于 命令 行 捕获 数据 ， 但 是 它 也 为 现 有 的 


捕获 文件 提供 一 些 参数 。 用 户 可 以 通过 执行 tshark-h 命令 ， 查 看 tshark 命令 的 帮助 信息 。 
该 命令 使 用 的 参数 与 dumpcap 基本 一 样 , 也 是 使 用 -D 选项 查看 可 用 的 接口 、-i 指定 接口 编 


号 、 


-w 指定 捕获 文件 、-a 设置 自动 停止 捕获 条 件 。 
根据 前 面 的 介绍 ， 好 像 Tshark 和 Dumpcap 工具 一 样 。 那 为 什么 还 要 使 用 Tshark 工具 


呢 ? 下 面 介绍 使 用 Tshark 工具 的 几 个 好 处 。 


口 Tshark 可 以 使 用 &ndash 。 
口 在 捕获 过 程 中 可 以 使 用 <hosts file> 选 项 。 


二 
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口 Tshark 可 以 处 理 已 存在 的 捕获 文件 。 例 如 ， 指 定 一 个 输出 捕获 文件 、 使 用 显示 过 

【实例 9-5】 演 示 Tshark 使 用 显示 过 滤器 处 理 已 存在 的 捕获 文件 。 如 下 所 示 。 

C:\Program Files\Wireshark>tshark -r http.pcapng -Y "ip.addr==192.168.0. 

104" -w myhttp.pcapng 

以 上 命令 表示 使 用 ip.addr 一 192.168.0.104 显示 过 滤器 过 滤 http.pcapng 捕获 文件 的 数据 
包 , 并 且 将 过 滤 后 的 数据 保存 到 名 为 myhttp.pcapng 的 捕获 文件 。 为 了 确认 是 否 创建 了 新 的 
捕获 文件 ， 使 用 dir 命令 查看 。 执 行 命令 如 下 所 示 。 

C:\Program Files\Wireshark>dir *http.pcapng 

驱动 器 C 中 的 卷 没有 标签 。 


卷 的 序列 号 是 3814-CB70 
C:\Program Files\Wireshark 的 目录 


2014/06/11 09:13 132,240 http.pcapng 
2014/07/04 17:35 71,492 myhttp.pcapng 
2 个 文件 pe ee i) 
0 个 目录 105,201, 623,040 可 用 字 节 


从 输出 的 信息 中 , 可 以 看 到 新 的 捕获 文件 myhttp-port.pcapng 已 经 生成 , 而 且 两 个 文件 
的 大 小 不 同 。 

【实例 9-6】 使 用 tshark 捕获 文件 集 。 具 体操 作 步 又 如 下 所 示 。 

(1) 打开 Windows 提示 符 或 Linux 终端 窗口 。 

(2) 切换 到 Wireshark 程序 目录 。 执 行 tshark-D 命令 ， 查 看 可 用 的 接口 。 如 果 不 能 
定 哪 个 接口 在 捕获 数据 , 则 返回 到 Wireshark 界面 依次 选择 Capture|Interfaces 命令 查看 ， 如 


图 9.8 所 示 。 
Wireshark: Capture Interfaces 一 > 一 
Device Descrption Pp Packets Packets/s 

回 多 VMware Network Adapter VMnet8 VMware Vitual Ethemet Adapter fe80::70d1:314b:9a31:70fb 0 0 |Details 

] 闭 本 地 和 连 搂 Reakek RTL81391810x Famiy F...t NIC fe80::116:521c:83b5:7a9¢ 0 0 [Details 

回 多 VMware Network Adapter VMnet1 VMware Vrtual Ethemet Adapter fe80::18d3:3b24:9fc9:9781 0 0 ~ [Details 

回 办 本 地 连接 2 Reakek PCIe GBE Famiy Controler fe80:-b8f6:ee8a:54fc:b228 。 21 1 [Betais 
- — - 一 -一 -一 J 

图 9.8 捕获 接口 


执行 tshark-D 命令 ， 输 出 结果 如 下 所 示 : 


C:\Program Files (x86)\Wireshark>tshark -D 
1. \Device\NPF {CCF39C8C-8C9F-4867-9D6B-41956FFB4742} (VMware Network Adapter VM 
net8) 


2. \Device\NPF {93AFB8C4-5C97-4F2A-9C58-FDE869DA0DE7} (本 地 连接 ) 
3. \Device\NPF {570A755F-4140-48A2-8D2B-16678F985638} (VMware Network Adapter VM 
net1) 


4. \Device\NPF {F3747D03-2700-4B29-8280-5F052EF1753A} (本 地 连接 2) 


(3) 开始 捕获 数据 。 执 行 命令 如 下 所 示 。 


= BGs 
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C:\Program Files (x86)\Wireshark>tshark -i4 -a files:6 -b duration:30 -w 
mytshark.pcapng 

Capturing on ' 本 地 连接 2' 

194 


从 输出 的 信息 中 ， 可 以 看 到 共 捕 获 了 194 个 数据 包 。 在 以 上 命令 中 ， 每 个 选项 的 含义 


如 下 所 示 。 


口 -i4: 表示 指定 捕获 编号 为 4 接口 上 的 数据 。 

口 -a files:6: 表示 捕获 6 个 文件 后 自动 停止 捕获 。 

口 -b duration:30: 表示 捕获 30 秒 后 开始 捕获 下 一 个 文件 。 

口 -w mytshark.pcapng: 表示 生成 的 捕获 文件 名 称 为 mytshark.pcapng。 


注意 : 以 上 命令 中 -a files:6 选项 在 Wireshark 1.10 义 版 本 中 存在 Bug， 无 法 生成 6 个 捕 


获 文件 。 该 命令 在 Wireshark 1.8. 和 版 本 中 ， 才 可 以 实现 -afiles:6 选项 的 功能 。 
(4) 查看 生成 的 捕获 文件 ， 如 下 所 示 。 


C:\Program Files\Wireshark>dir mytshark* 
驱动 器 C 中 的 卷 没 有 标签 。 

卷 的 序列 号 是 3814-CB70 

C:\Program Files\Wireshark 的 目录 


2014/07/07 11:04 1,446,324 mytshark 00001 20140707110330.pcapng 
2014/07/07 11:04 107,260 mytshark 00002 20140707110400.pcapng 
2014/07/07 11:05 58,836,236 mytshark 00003 20140707110430.pcapng 
2014/07/07 11:05 53,447,032 mytshark 00004 20140707110500.pcapng 
2014/07/07 11:06 52,290,076 mytshark 00005 20140707110530.pcapng 
2014/07/07 11:06 4,275,336 mytshark 00006 20140707110600.pcapng 


6 个 文件 170,402,264 字 节 
0 个 目录 105, 026,265, 088 可 用 字 节 


从 以 上 命令 中 ， 可 以 看 到 共生 成 了 6 个 文件 。 


9.3.2 ”使 用 捕获 过 滤器 


当 用 户 在 命令 行 捕获 数据 时 ， 可 能 只 想 捕获 特定 的 数据 。 这 时 候 ， 用 户 就 可 以 使 用 


Dumpcap 和 Tshark 的 选项 指定 一 个 捕获 过 滤器 。 下面 将 介绍 在 命令 行 中 使 用 捕获 过 滤器 的 
方法 。 


使 用 Dumpcap 工具 ， 指 定 捕获 过 滤器 进行 数据 捕获 。 执 行 命令 如 下 所 示 。 
C:\Program Files (x86)\Wireshark>dumpcap -i4 -f "tcp port 80" -w 
"port80.pcapng" 

Capturing on "本 地 连接 2' 

File: port80.pcapng 

Packets: 221 


输出 的 信息 显示 了 捕获 的 包 数 和 捕获 文件 名 。 执 行 以 上 命令 后 ， 该 程序 不 会 自动 停止 


捕获 ， 需 要 按 下 Ctrl+rC 组 合 键 停止 。 以 上 命令 中 ,二 表示 指定 的 捕获 接口 ，-f 表 示 指 定 的 
捕获 过 滤器 ; -w 表示 指定 生成 的 捕获 文件 名 。 


使 用 Tshark 工具 指定 捕获 过 滤器 的 参数 和 Dumpcap 一 样 。 例 如 ， 捕 获 到 达 / 来 自主 机 


192.168.0.5 上 所 有 80 端口 的 数据 ， 并 指定 捕获 文件 名 为 myport80.pcapng， 执 行 命令 如 下 


" 
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所 示 。 


C:\Program Files (x86)\Wireshark>tshark -i4 -f "tcp port 80 and host 
192.168.0.105" -w myport80.pcapng 


Capturing on ' 本 地 连接 2' 
3363 


从 输出 的 信息 中 ， 可 以 看 到 共 捕获 了 3363 个 数据 包 。 
9.3.3 ”使 用 显示 过 滤器 


在 命令 行 中 ， 也 可 以 使 用 显示 过 滤器 快速 地 分 析 数 据 。 在 命令 行 中 ， 使 用 的 显示 过 滤 
器 比 捕获 过 滤器 多 。 但 是 ， 使 用 显示 过 滤器 时 有 一 定 的 限制 。 用 户 可 以 使 用 -Y 选项 指定 显 
示 过 滤器 过 滤 数 据 ， 但 是 不 能 保存 使 用 该 参数 后 过 滤 的 捕获 文件 。 下 面 将 介绍 在 命令 行使 
用 显示 过 滤器 的 方法 。 

【实例 9-7】 演 示 仅 捕获 匹配 tcp.analysis.flags 过 滤器 的 数据 包 。 

(1) 使 用 捕获 过 滤器 捕获 所 有 TCP 数据 ， 并 保存 该 捕获 文件 为 tcp.pcapng。 执 行 命令 
如 下 所 示 。 

C:\Program Files (x86)\Wireshark>tshark -i 4 -f "tcp" -w tcp.pcapng 

Capturing on 本 地 连接 2' 

1738 

执行 以 上 命令 后 ， 表 示 捕 获 所 有 TCP 数据 ， 并 保存 为 tcp.pcapng 捕获 文件 。 

(2) 使 用 -r 参数 读 取 捕获 文件 的 ndash， 使 用 -Y 参数 指定 显示 过 滤器 ， 并 使 用 -w 参数 
指定 保存 的 新 捕获 文件 。 如 下 所 示 。 

C:\Program Files\Wireshark>tshark -r "tcp.pcapng" -Y "tcp.analysis.flags" 

-w analysisflags.pcapng 

执行 以 上 命令 后 ， 没 有 任何 输出 信息 。 但 是 会 生成 一 个 新 的 捕获 文件 ， 其 名 为 
analysisflags.pcapng。 

(3) 查看 新 捕获 文件 的 基本 信息 ， 执 行 如 下 所 示 的 命令 。 

C:\Program Files\Wireshark>dir analysisflags.pcapng 

驱动 器 C 中 的 卷 没 有 标签 。 


卷 的 序列 号 是 3814-CB70 
C:\Program Files\Wireshark 的 目录 


2014/07/04 18:51 4,972 analysisflags.pcapng 
人 人 4,972 字 节 
0 个 目录 105,196,703,744 可 用 字 节 


从 输出 的 信息 中 ， 可 以 看 到 匹配 tcp.analysis.flags 过 滤 的 数据 包 大 小 为 4KB。 

【实例 9-8】 使 用 Tshark 工具 提取 HITP GET 请 求 包 。 有 具体 操作 步骤 如 下 所 示 。 

(1) 打开 Windows 命令 行 窗口 或 Linux 终端 窗口 。 

(2) 切 换 到 Wireshark 程序 目录 。 这 里 以 http.pcapng 捕获 文件 为 例 ,介绍 如 何 提取 HTTP 
GET 请 求 包 。 首 先 查 看 捕获 文件 的 大 小 ， 执 行 命令 如 下 所 示 。 


C:\Program Files\Wireshark>dir http.pcapng 
驱动 器 C 中 的 卷 没 有 标签 。 


"188。 
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卷 的 序列 号 是 3814-CB70 
C:\Program Files\Wireshark 的 目录 


2014/06/11 09:13 132,240 http.pcapng 
I 132,240 字 节 
0 个 目录 105,196,716, 032 可 用 字 节 
从 输出 信息 中 可 以 看 到 http.pcapng 捕获 文件 大 小 为 132 240 字 节 。 
(3) 使 用 -Y 选项 指定 显示 过 滤器 ， 提 取 HTTP GET 请 求 包 ， 并 且 将 过 滤 后 的 数据 保 
存 到 httpGET.pcapng 捕获 文件 。 执 行 命令 如 下 所 示 。 
C:\Program Files\Wireshark>tshark -r "http.pcapng" -Y "http.request. 
method==GET" -~w "httpGET.pcapng" 
执行 以 上 命令 后 ， 没 有 任何 输出 信息 。 此 时 查看 新 保存 捕获 文件 的 信息 ， 执 行 如 下 所 
示 的 命令 。 
C:\Program Files\Wireshark>dir httpGET.pcapng 
驱动 器 C 中 的 卷 没 有 标签 。 
卷 的 序列 号 是 3814-CB70 
C:\Program Files\Wireshark 的 目录 
2014/07/04 18:40 1,404 httpGET.pcapng 
个 村 1, 404 字 节 
0 个 目录 105,196, 711, 936 可 用 字 节 
从 输出 的 信息 中 ， 可 以 看 到 提取 的 HTTP GET 请 求 包 的 大 小 为 1 404 字 节 。 
(4) 现在 就 可 以 打开 httpGET.pcapng 捕获 文件 ， 快 速 地 分 析 数 据 包 了 。 


9.4 导出 字段 值 和 统计 信息 


有 时 候 可 能 不 确定 某 些 数据 是 否 捕获 了 。 这 时 候 ， 可 以 使 用 命令 行 工具 Tsahrk 导出 
Wireshark 的 某 个 字段 值 进行 查看 。 如 果 想 知道 导出 数据 的 信息 ， 可 以 使 用 Tshark 的 选项 
将 统计 结果 输入 到 一 个 文本 文件 。 本 节 将 介绍 导出 字段 值 和 统计 信息 。 


9.4.1 导出 字段 值 


在 命令 行 中 ， 可 以 使 用 Tshark 程序 的 一 些 选项 实现 导出 字段 值 。 例 如 ， 导 出 主机 
192.168.0.3 上 80 端口 的 帧 编号 、 源 了 P、 目 标 瑟 和 TCP 窗口 大 小 的 字段 值 ， 执 行 命令 如 下 
所 示 。 

C:\Program Files (x86)\Wireshark>tshark -i4 -f "dst port 80 and host 

192.168.0.3" -T fields -e frame.number -e ip.src -e ip.dst -e tcp.window size 

以 上 命令 表示 导出 到 达 192.168.0.3 主机 接口 4 上 80 端口 的 所 有 数据 ， 并 且 导 出 的 字 
段 包 括 帧 编号 、 源 一、 目标 卫 和 TCP 窗口 大 小 。 执 行 以 上 命令 后 按 下 回 车 键 ， 将 显示 如 
下 所 示 的 内 容 。 


Capturing on ' 本 地 连接 2' 
人 了 19260850 192- L608:053 8192 


Ns 
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1 192 14660207 L192 L6820:3 65536 
192.168.0-107 192.168-0.3 65536 
4 192-168.0:107 1 11921565053 64768 
3 192.168201079 "192-168.0e3 64768 
6 L92168.0.107 T192168-0:3 65536 
So T923168.00070 9201085053 65536 
8 T92168650s107 L92160053 55296 
3 192>168350=51407 192°168-0.3 65536 
0 92 68202L0TD T9216050s3 62720 
1 192516850>107 L9268053 65536 
bh 1925168502107 L92685053 65536 
3 U92-160.0a107 192106090503 56832 
14 392685D L077 L920 T682053 65536 
1 192.1680:0: L107 "L92168.053 65536 
16 92<166202107 0 L92169830:3 40704 
Eh L92168-0210N L920T60800s3 65536 
18 L92168:02E0W L92168503 64000 
入 L92168 .00 2600s3 65536 
20 192. 166-0=107 192- L6090303 59648 
21 1925160650510W L192 L166.053 65536 
2 192. L600=107 923216950<3 39168 
23 L925 160 080 L921680053 65536 
24 L226 0L07 L921005053 52736 
E43 92 .16805107 L9216B:0.3 65536 
E47 


C:\Program Files (x86)\Wireshark> 


执行 以 上 命令 后 ,不 会 自动 停止 捕获 。 这 时 候 需要 手动 地 停止 捕获 ， 按 下 Ctrl+C 组 合 
键 。 为 了 更 容易 地 阅读 数据 ， 可 以 使 用 Tshark 的 -E 参数 添加 导出 信息 。 例 如 ,添加 一 个 字 
段 的 头 部 ， 使 用 -E header=y。 如 果 想 使 用 表格 的 形式 分 析 数 据 ， 可 使 用 “-E separator=,” 
参数 设置 导出 的 信息 以 逗号 进行 分 隔 。 

使 用 Tshark 可 以 将 捕获 的 字段 值 导入 到 一 个 文本 文件 中 , 这样 查看 起 来 比较 容易 。 下 
面 演示 将 当前 网 络 中 Host 字段 导入 到 一 个 文本 文件 。 

【实例 9-9】 导 出 HTTP 包 的 Host 字段 值 。 执 行 命令 如 下 所 示 。 

C:\Program Files (x86)\Wireshark>tshark -i 4 -Y "http.host" -T fields -e 

http .host > httphosts .txt 

以 上 命令 表示 将 http.host 捕获 文件 中 的 http.host 字段 导入 到 httphosts.txt 文本 文件 中 。 
执行 以 上 命令 后 ， 通 过 访问 某 个 Web 站 点 产生 数据 。 然 后 按 下 C+C 组 合 键 ， 停 止 捕获 。 
如 下 所 示 。 

Capturing on ' 本 地 连接 2' 

250 

从 输出 的 信息 中 ， 可 以 看 到 共 捕 获 了 250 个 数据 包 。 此 时 可 以 打开 保存 的 捕获 文件 ， 
查看 HTTP Host 字段 值 ， 如 图 9.9 所 示 。 

从 该 界面 可 以 看 到 访问 过 的 所 有 网 站 。 如 果 想 查看 这 些 网 站 对 应 的 下 地址 , 可 以 使 用 
ip.dst 参数 实现 。 

【实例 9-10】 演 示 在 Windows 下 使 用 Tshark 导出 HITP Host 名 和 卫 地 址 。 有 具体 操作 
步骤 如 下 所 示 。 


“90* 
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图 9.9 httphosts.txt 文件 


(1) 打开 Windows 命令 行 提示 符 。 

(2) 切换 到 Wireshark 程序 目录 。 执 行 如 下 所 示 的 命令 。 

C:\Program Files (x86) \Wireshark>tshark -i 4 -Y "http.host && ip" -T fields 
=-e http.host -e ip.dst -E separator=,>httphostaddrs.txt 

ER on ' 本 地 连接 2' 


执行 以 上 命令 后 , 通过 访问 任何 Web 站 点 产生 数据 。 访问 几 分 钟 后 返回 到 命令 行 ， 按 
下 Ctrl+C 组 合 键 停止 捕获 过 程 。 从 输出 的 信息 中 可 以 看 到 捕获 的 数据 包 数 。 
(3) 查看 httphostaddrs.txt 文本 文件 内 容 ， 如 图 9.10 所 示 。 


9.10 httphostaddrs.txt 文件 


(4) 从 该 界面 可 以 看 到 捕获 的 Host 名 和 了 正 地 址 。 如 view.atdmt.com 网 站 的 瑟 地址 为 
MLE221.20.78s 


9.4.2 导出 数据 统计 


使 用 Tshark 的 -z 选项 , 可 以 查看 大 量 的 数据 统计 信息 。 如 果 不 想 在 屏幕 上 显示 每 个 帧 ， 
则 使 用 -q 选项 。 例 如 ， 查 看 协议 分 层 统计 信息 ， 执 行 如 下 所 示 的 命令 。 
C:\Program Files (x86)\Wireshark>tshark -i 4 -qz io,phs 


ls 
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Capturing on ' 本 地 连接 2' 
3019 


执行 以 上 命令 后 ， 将 开始 捕获 数据 。 当 捕获 到 自己 需要 的 数据 时 ， 按 下 Ctrl+C 组 合 
停止 捕获 。 此 时 将 输出 协议 分 层 统计 信息 ， 如 下 所 示 。 


El 和 Statistics 
Filter: 
frame 
eth 
| 
tcp 
http 
image-jfif 
tcp.segments 
data-text-lines 
tcp.segments 
media 
tcp.segments 
png 
malformed 
tcp.segments 
image-gif 
tcp.segments 
Xml 
SS 下 
七 cp. segments 
igmp 
udp 
dns 
data 
http 
oicq 
ipv6 
udp 
http 
dhcpv6 


frames:3019 bytes:2276136 
frames:3019 bytes:2276136 
frames:2983 bytes:2263625 
frames:2908 bytes:2247459 
frames:248 bytes:159925 
frames:75 bytes:58152 
frames:75 bytes:58152 
frames:10 bytes:6281 
frames:9 bytes:5304 
frames:13 bytes:7394 
frames:13 bytes:7394 
frames:12 bytes:6009 
frames:1 bytes:80 
frames:11 bytes:5929 
frames:9 bytes:4395 
frames:2 bytes:2253 
frames:1 bytes:505 
frames:11 bytes:7259 
frames:1 bytes:1125 
frames:6 bytes:360 
frames:69 bytes:15806 
frames:46 bytes:5033 
frames:3 bytes:1204 
frames:18 bytes:9399 
frames:2 bytes:170 
frames:29 bytes:12127 
frames:29 bytes:12127 
frames:28 bytes:11983 
frames:1 bytes:144 
frames 


输出 的 信息 中 ， 显 示 了 每 个 协议 对 应 的 帧 及 数据 包 大 小 。 
入 到 一 个 文本 文件 中 ， 可 以 使 用 重 定向 符号 “>” 实 现 。 如 将 以 上 信息 导入 到 stats.txt 文本 
文件 中 ， 执 行 如 下 所 示 的 命令 。 


C:\Program Files (x86)\Wireshark>tshark -i 4 -qz io,phs > stats.txt 


Capturing on ' 本 地 连接 2' 
4536 


从 输出 的 信息 中 可 以 看 到 ， 共 捕获 了 4536 个 数据 包 。 如 果 需 要 在 已 保存 的 捕获 文本 文 


件 中 收集 信息 ， 则 使 用 “>>” 符 号 。 


有 时 候 用 户 想 要 查看 整个 网 络 中 所 有 活跃 主机 的 列表 ， 可 以 执行 如 下 所 示 的 命令 


C:\Program Files (x86)\Wireshark>tshark -i 4 -qz hosts 


Capturing on ' 本 地 连接 2' 
2405 

# TShark hosts output 

# 


“2 


如 果 想 要 将 以 上 输出 信息 导 
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# Host data gathered from C:\Users\lyw\AppData\Local\Temp\wireshark pcapng F 
DO3-2700-4B29-8280-5F052EF1753A 20140705165941 a01724 


204:79:197;200 
Tl2L.31289-.107 
L2135189-113 
221.204.160.40 
61.135.186.152 
123.125.114.101 
60.221.254.195 
218.26.67:75 
L713 194:72.95 
162.159.242.165 
162.159.241.165 
221.204.244.37 
49192.3-.26 
39 
G092 003 
(Ea 
(| 
(A 

(ch ek} 
203.208.46.217 
203.208.46.218 
203.208.46.205 
203.208.36.26 
203-20836513 
203.208.36.25 
C:\Program Files (x86)\Wireshark> 


any.edge.bing.com 
al34.lm.akamai .net 
al34.lm.akamai .net 
wwwbaidu.jomodns .com 
static.n.shifen.com 
suggestion.a.shifen.com 
neteaseimg.xdwscache .glb0.1xdns .com 
neteaseimg.xdwscache.glb0.1xdns.com 
googleapis.1.google.com 
www-wireshark.org 
www-wireshark.org 

ieframe.dll 


al363.g.akamai.net 
al363.g.akamai.net 
al363.g.akamai.net 
al363.g.akamai.net 
al363.g.akamai.net 
al363.g.akamai.net 
al363.g.akamai .net 
pagead46.1.doubleclick.net 
pagead46.1.doubleclick.net 
pagead46.1.doubleclick.net 
pagead46.1.doubleclick.net 
pagead46.1.doubleclick.net 
pagead46.1.doubleclick.net 


从 输出 的 信息 中 ， 可 以 看 到 所 有 活跃 的 主机 及 对 应 的 域名 。 当 用 户 想 要 提取 专家 信息 
可 以 使 用 -r 参数 实现 。 如 提取 专家 信息 中 的 notes 信息 ， 执 行 命令 如 下 所 示 。 


C:\Program Files (x86)\Wireshark>tshark -r "http.pcapng" -qz expert,notes 
Errors (3) 


Frequency Group Protocol 
Malformed PNRP 
2 Malformed DNS 


Frequency Group Protocol 
1 Sequence TCP 
Notes (3) 
Frequency Group Protocol 
FE Sequence TCP 
六 Sequence TCP 


C:\Program Files (x86)\Wireshark> 


Summary 
Malformed Packet (Exception occurred) 
Malformed Packet (Exception occurred) 


Summary 
Previous segment not captured (common at 
capture start) 


Summary 
Duplicate ACK (#1) 
Retransmission (suspected) 


从 以 上 信息 中 ,可 以 看 到 显示 了 该 捕获 文件 中 的 Erors、Wamings 和 Notes 专家 信息 。 


如 果 仅 想 查 看 Erors 和 Warmings， 可 使 用 -qz expert,warn 命令 。 
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第 10 章 ”ARP 协议 抓 包 分 析 


ARP (Address Resolution Protocol) 协议 ， 即 地 址 解析 协议 。 该 协议 的 功能 就 是 将 IP 
地 址 解析 成 MAC 地址。 本章 将 介绍 ARP 协议 抓 包 分 析 。 


10.1 ARP 基础 知识 


在 分 析 ARP 协议 之 前 , 首先 需要 了 解 一 些 关于 ARP 的 基础 知识 , 如 什么 是 ARP、ARP 
工作 流程 及 ARP 缓存 表 等 。 本 节 将 介绍 ARP 协议 的 基础 知识 。 


10.1.1 什么 是 ARP 


ARP (Address Resolution Protocol， 地 址 解析 协议 ) 是 根据 卫 地 址 获取 物理 地 址 的 一 
个 TCP/IP 协议 。 由 于 OSI 模型 把 网 络 工作 分 为 七 层 ， 卫 地 址 在 OSI 模型 的 第 三 层 , MAC 
地 址 在 第 二 层 ， 彼 此 不 直接 通信 。 在 通过 以 太 网 发 送 IP 数据 包 时 ， 需 要 先 封装 第 三 层 (32 
位 耳 地址) 和 第 二 层 (48 位 MAC 地 址 ) 的 报头 。 但 由 于 发 送 数据 包 时 只 知道 目标 卫 地 
址 ， 不 知道 其 MAC 地 址 ， 而 又 不 能 跨越 第 二 、 三 层 ， 所 以 需要 使 用 地 址 解析 协议 。 

使 用 地 址 解析 协议 后 ， 计 算 机 可 根据 网 络 层 IP 数据 包 包头 中 的 人 P 地 址 信息 对 应 目标 
硬件 地 址 (MAC 地 址 ) 信息 ， 以 保证 通信 的 顺利 进行 。ARP 的 基本 功能 就 是 负责 将 一 个 
已 知 的 耳 地 址 解析 成 MAC 地 址 ， 以 便 主 机 间 能 正常 进行 通信 。 

如 图 10.1 所 示 ， 假 设 PC1 发 送 数据 给 主机 PC2 时 ， 需 要 知道 PC2 的 MAC 地 址 。 可 
是 PC1 是 如 何 知 道 PC2 的 MAC 地 址 的 呢 ? 它 不 可 能 知道 每 次 所 需要 的 MAC 地 址 ， 即 使 
知道 也 不 可 能 全 部 记录 下 来 。 所 以 ， 当 PC1 访问 PC2 之 前 就 要 询问 PC2 的 卫 地 址 所 对 应 
的 MAC 地 址 是 什么 。 这 时 就 需要 通过 ARP 请 求 广播 实现 。 


10.1.2 ARP 工作 流程 


ARP 工作 过 程 分 为 两 个 阶段 ， 一 个 是 ARP 请 求 过 程 ， 一 个 是 ARP 响应 过 程 。 其 工作 
流程 如 图 10.1 和 图 10.2 所 示 。 


ARP 请 求 


图 10.1 ARP 请 求 
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ARP 响应 


PCI1 PC2 


图 10.2 ARP 响应 


在 图 10.1 和 图 10.2 中 ， 主 机 PC1 的 人 P 地 址 为 192.168.1.1， 主 机 PC2 的 他 地址 为 
192.168.1.2。 当 主机 PC1 和 主机 PC2 通信 时 ， 地 址 解析 协议 可 以 将 主机 PC2 的 人 P 地 址 
(192.168.1.2) 解析 成 主机 PC2 的 MAC 地 址 。PC1 和 PC2 的 详细 通信 过 程 如 下 所 示 。 

(1) 当主 机 PC1 想 发 送 数据 给 主机 PC2 时 ， 首 先 在 自己 的 本 地 ARP 缓存 表 中 检查 主 
机 PC2 匹配 的 MAC 地 址 。 

(2) 如 果 主 机 PC1 在 缓存 中 没有 找到 相应 的 条 目 ， 它 将 询问 主机 PC2 的 MAC 地 址 ， 
从 而 将 ARP 请 求 帧 广播 到 本 地 网 络 上 的 所 有 主机 。 该 帧 中 包括 源 主机 PC1 的 IP 地 址 和 
MAC 地 址 .本 地 网 络 上 的 每 台 主机 都 接收 到 ARP 请 求 并 且 检 查 是 否 与 自己 的 全 地 址 匹配 。 
如 果 主 机 发 现 请 求 的 他 地 址 与 自己 的 瑟 地 址 不 匹配 ， 它 将 会 丢弃 ARP 请 求 。 

(3) 主机 PC2 确定 ARP 请 求 中 的 人 P 地 址 与 自己 的 瑟 地 址 匹配 ， 则 将 主机 PC1 的 地 
址 和 MAC 地 址 添加 到 本 地 缓存 表 。 

(4) 主机 PC2 将 包含 其 MAC 地 址 的 ARP 回复 消息 直接 发 送 回 主机 PC1 (这 个 数据 帧 
是 单 播 ) 。 

(5) 当 主机 PC1 收 到 从 主机 PC2 发 来 的 ARP 回复 消息 时 ,会 将 主机 PC2 的 卫 和 MAC 
地 址 添加 到 自己 的 ARP 缓 存 表 。 本 机 缓存 是 有 生存 期 的 , 默认 ARP 缓 存 表 的 有 效 期 是 120s。 
当 超 过 该 有 效 其 后 ， 将 再 次 重复 上 面 的 过 程 。 主 机 PC2 的 MAC 地 址 一 旦 确定 ， 主 机 PC1 
就 能 向 主机 PC2 发 送 耳 信息 了 。 


上 


10.1.3 ARP 缓存 表 


ARP 缓存 中 包含 一 个 或 多 个 表 , 它们 用 于 存储 卫 地址 及 其 经 过 解析 的 MAC 地 址 。 在 
ARP 缓存 中 的 每 个 表 又 被 称 为 ARP 缓存 表 。 下 面 将 介绍 ARP 缓存 表 的 由 来 、 构 成 及 生命 
周期 等 。 


1. ARP 缓 存 表 的 由 来 


ARP 协议 是 通过 目标 设备 的 他 地址 查询 目标 设备 的 MAC 地 址 , 以 保证 通信 的 顺利 进 
行 。 这 时 就 涉及 到 一 个 问题 ， 一 个 局 域 网 中 的 电脑 少 则 几 台 ， 多 则 上 百 台 ， 这 么 多 的 电脑 
之 间 ， 如 何 能 记 住 对 方 电脑 网 卡 的 MAC 地 址 ， 以 便 数 据 的 发 送 呢 ? 所 以 ， 这 就 有 了 ARP 


2. ARP 缓 存 表 维护 工具 一 一 arp 命 令 


在 计算 机 中 ， 提 供 了 一 个 ARP 命令 。 该 命令 用 于 查询 本 机 ARP 缓存 中 的 人 P 地 址 和 
MAC 地 址 的 对 应 关系 、 添 加 或 删除 静态 对 应 关系 等 。 用 户 也 可 以 通过 使 用 arp 命令 验证 


ws 
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ARP 缓存 条 目的 生命 周期 。ARP 命令 的 语法 格式 如 下 : 

arp [-s inet addr eth addr [if addr]] [-dinet addr [if addr]] [-a [inet addr] 

IEN if adar]] [=g] [[=v] 

以 上 参数 含义 如 下 所 示 。 

口 -sinet addr eth_addr [if addr]: 向 ARP 缓存 表 中 添加 可 将 IP 地 址 inet_addr 解析 成 

物理 地 址 eth_addr 的 静态 条 目 。 要 向 指定 接口 的 表 添 加 静态 ARP 缓存 条 目 ， 使 用 

让 addr 参数 ， 此 处 的 让 addr 代表 指派 给 该 接口 的 了 P 地 址 。 

口 -d inet_addr if addr: 删除 指定 的 下 条目 ， 此 处 的 inet_addr 代表 也 地址。 对 于 指 

定 的 接口 ， 要 删除 表 中 的 某 项 ， 使 用 过 addr， 此 处 的 站 addr 代表 指派 给 该 接口 的 

IP 地 址 。 要 删除 所 有 条 目 ， 可 使 用 星 号 (*) 通配符 代替 inet_addr。 

口 -a inet addr [-N if addr]: 显示 所 有 接口 的 当前 ARP 缓存 表 。 要 显示 特定 IP 地 址 的 
ARP 缓存 项 ， 使 用 带 有 inet_addr 参数 的 arp -a， 此 处 的 inet_addr 代表 IP 地 址 。 如 
果 未 指定 inet addr， 则 使 用 第 一 个 适用 的 接口 。 要 显示 特定 接口 的 ARP 绥 存 表 ， 
将 -N if addr 与 -a 参数 一 起 使 用 ， 此 处 的 让 addr 代表 指派 给 该 接口 的 卫 地 址 。-N 
参数 区 分 大 小 写 。 

口 -g: 与 -a 相同 。 

口 -v: 查看 帮助 信息 。 

在 以 前 的 Windows 系列 系统 中 ,都 可 以 直接 执行 ap -s 命令 绑 定 下 地 址 和 MAC 地 址 。 
但 是 在 Windows 7 中 ， 如 果 不 是 以 管理 员 身 份 运行 时 会 提示 : “ARP 项 添加 失败 : 请 求 的 
操作 需要 提示 ”。 但 是 有 时 候 就 算 以 管理 员 身 份 运行 也 会 提示 错误 信息 “ARP 项 添加 失败 : 
拒绝 访问 。” 这 时 候 就 需要 使 用 Netsh 命令 了 。 

Netsh 实用 程序 是 一 个 外 这, 它 通 过 附加 的 “Netsh 帮助 DLL”, 可 以 支持 多 个 Windows 
2000 组 件 。“Netsh 帮助 DLL” 提 供用 来 监视 或 配置 特定 Windows 2000 网 络 组 件 的 其 他 
命令 ， 从 而 扩展 了 Netsh 的 功能 。 每 个 “Netsh 帮助 DLL” 都 为 特定 的 网 络 组 件 提供 了 一 
个 环境 和 一 组 命令 。 每 个 环境 中 都 可 以 有 子 环境 。Netsh 命令 的 语法 格式 如 下 : 

netsh [-a AliasFile]  [-c Context] [-r RemoteMachine] [Command] [-f 

ScriptFile] 

以 上 命令 中 ， 各 选项 含义 如 下 所 示 。 

口 -aAlias File: 指定 使 用 一 个 别名 文件 。 别 名 文件 包含 Netsh 命令 列表 和 一 个 别名 版 

本 ， 所 以 可 以 使 用 别名 命令 行 替换 netsh 命令 。 可 以 使 用 别名 文件 将 其 他 平台 中 更 
熟悉 的 命令 映射 到 适当 的 netsh 命令 。 

口 -c Context: 指定 对 应 于 已 安装 的 支持 DLL 的 命令 环境 。 

口 -rRemoteMachine: 指定 在 远程 计算 机 上 运行 netsh 命令 ， 由 名 称 或 人 P 地 址 来 指定 

远程 计算 机 。 

口 command: 指定 要 执行 的 netsh 命令 。 

口 -fScriptFil: 指定 运行 ScriptFile 文件 中 所 有 的 netsh 命令 。 

【实例 10-1】 使 用 netsh 绑 定 卫 和 MAC 地 址 。 具 体操 作 如 下 所 示 。 

(1) 查看 接口 的 Idx 号 。 执 行 命令 如 下 : 
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C:\Users\Administrator>netsh i i show in 


Idx Met MTU 状态 名 称 
1 50 4294967295 connected Loopback Pseudo-Interface 1 
U2 20 1500 connected 本 地 连接 


从 输出 的 结果 中 可 以 看 到 本 地 连接 的 Idx 为 12 (Idx 号 用 在 下 面 命令 中 的 neighbors 
后 面 ) 。 
(2) 添加 下-MAC 地 址 绑 定 。 执 行 命令 如 下 : 


C:\Users\Administrator>netsh -c "i i" add neighbors 12 "192.168.1.3" 
S00 23=8b cA 05 bE" 


执行 以 上 命令 没有 任何 输出 信息 。 
(3) 使 用 arp -a 查看 绑 定 的 ARP 条 目 。 执 行 命令 如 下 : 


C:\Users\Administrator>arp -a 


接口 : 192.168.1.2 --- 0xc 
Internet 地 址 物理 地 址 类 型 
192.168.1.3 00-23-8b-c4-05-bf ”静态 


看 到 以 上 输出 结果 ， 表 示 IP-MAC 地 址 已 被 绑 定 。 
3. ARP 缓 存 表 的 构成 


在 局 域 网 的 任何 一 台 主 机 中 ， 都 有 一 个 ARP 缓存 表 。 该 缓存 表 中 保存 了 多 个 ARP 条 
目 。 每 个 ARP 条 目 都 是 由 一 个 耳 地 址 和 一 个 对 应 的 MAC 地 址 组 成 。 这 样 多 个 ARP 条 日 
就 组 成 了 一 个 ARP 缓存 表 。 当 某 台 主机 向 局 域 网 中 另外 的 主机 发 送 数据 的 时 候 ， 会 根据 
ARP 缓存 表 里 的 对 应 关系 进行 发 送 。 下 面 以 例子 的 形式 介绍 查看 、 添 加 和 删除 ARP 缓存 
条 目的 方法 。 

【实例 10-2】 使 用 arp 命令 查看 ARP 缓存 条 目 。 执 行 命令 如 下 : 


C:\Users\Administrator>arp -a 


接口 : 192.168.5.4 --- 0xc 
Internet 地 址 物理 地 址 类 型 
192.168.5.1 c8-3a-35-84-78-1le 动态 
192.168.5.255 EE 静态 
2240080 22 01-00-5e-00-00-16 静态 
2240R0S250 01-00-5e-00-00-fb 静态 
22AONOL252 01-00-5e-00-00-fc 静态 
239.255.255.250 (OT 7 于 二 和 二 下 静态 
255.255.255.255 EE 静态 


输出 信息 显示 了 本 机 接口 为 192.168.5.4 地 址 的 ARP 缓存 表 。 每 行 表示 一 个 ARP 条 目 。 

【实例 10-3 将 卫 地 址 192.168.1.1 和 MAC 地 址 00-aa-00-62-c6-09 添加 到 缓存 记录 中 。 
执行 命令 如 下 : 

C:\Users\Administrator>arp -s 192.168.1.1 00-aa-00-62-c6-09 

执行 以 上 命令 后 没有 任何 输出 信息 。 如 果 要 想 查看 添加 的 ARP 缓存 条 目 ， 可 以 使 用 
arp -a 命令 ， 如 下 所 示 。 
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C:\Users\Administrator>arp -a 


接口 : 192.168.5.4 --- 0xc 
Internet 地 址 物理 地 址 类 型 
T9268 TT 00-aa-00-62-c6-09 静态 
T92168. .501 c8-3a-35-84-78-1e 动态 
T923168 5 255 ff-ff-ff-ff-ff-ff 静态 
2 O02 01-00-5e-00-00-16 静态 
224 5 0580251 01-00-5e-00-00-fb 静态 
2 0 0 252 01-00-5e-00-00-fc 静态 
239.255.255.250 01-00-5e-7f-ff-fa 静态 
255525552555255 ff-ff-ff-ff-ff-ff 静态 


从 输出 的 信息 中 , 可 以 看 到 手动 添加 的 ARP 缓存 条 目 。 手动 添加 的 条 目 默认 被 添加 到 
第 一 行 ， 而 且 手动 添加 的 ARP 条 目 类 型 为 静态 。 

【实例 10-4】 删 除 耳 地址 为 192.168.1.1 的 ARP 条 目 。 执 行 命令 如 下 : 

C:\Users\Administrator>arp -d 192.168.1.1 

执行 以 上 命令 后 ， 接 口 地 址 为 192.168.1.1 的 ARP 记录 将 被 删除 。 如 果 用 户 想 要 清空 
所 有 的 ARP 条 目 ， 则 执行 如 下 所 示 的 命令 。 

C:\Users\Administrator>arp -d 

或 

C:\Users\Administrator>arp -d * 

执行 以 上 命令 后 ， 整 个 ARP 缓存 表 将 被 删除 。 此 时 执行 arp -a 命令 查看 ARP 缓存 表 ， 
将 显示 如 下 所 示 的 信息 。 


C:\Users\Administrator>arp -a 


未 找到 ARP 项 。 
从 输出 的 信息 ， 可 以 看 到 当前 该 缓存 表 中 没有 任何 ARP 条 目 。 


全 注意 :使 用 arp 命令 在 Windows 和 Linux 下 删除 ARP 缓存 条 目的 方法 有 点 区 别 .在 Linux 
下 ， 删除 ARP 条 目 时 ， 必 须 指定 接口 地 址 ; 在 Windows 下 ， 可 以 直接 执行 arp -d 
命令 删除 。 在 Linux 下 ， 如 果 不 指定 接口 ， 将 会 提示 “arp: need host name” 信 息 。 


10.2 ”捕获 ARP 协议 包 


了 解 ARP 协议 的 基础 知识 后 , 就 可 以 捕获 ARP 协议 包 了 。 本 节 将 介绍 捕获 ARP 协议 
包 的 方法 。 


10.2.1 Wireshark 位 置 


在 使 用 Wireshark 捕获 数据 包 之 前 , 确定 Wireshark 是 一 件 非 常 重要 的 事 。 下面 是 本 书 
中 的 一 个 实验 环境 ， 如 图 10.3 所 示 。 
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Es Es 
IP: 192. 168. 5.4 IP: 192. 168. 5.2 
MAC:50-E5-49-EB-46-8D MAC: 00-19-21-3F-C3-ES 


图 10.3 ”Wireshark 的 位 置 


从 该 图 中 可 以 看 到 ， 在 该 环境 中 使 用 了 两 台 PC。 当 然 ， 用 户 也 可 以 使 用 一 台 PC 进行 
测试 。 用 户 可 以 选择 与 路 由 器 直接 通信 ， 也 可 以 产生 ARP 数据 包 。 为 了 方便 用 户 更 清楚 地 
分 析 ARP 数据 包 ， 这 里 使 用 两 台 PC 进行 通信 来 产生 ARP 数据 包 。 


10.2.2 ”使 用 捕获 过 滤器 


在 Wireshark 中 ， 可 以 使 用 arp 捕获 过 滤器 直接 捕获 到 ARP 协议 数据 包 。 下 面 将 介绍 
使 用 arp 捕获 过 滤器 捕获 ARP 数据 包 。 有 具体 操作 步骤 如 下 所 示 。 

(1) 根据 图 10.3 来 配置 实验 环境 。 然 后 ， 在 主机 A 上 启动 Wireshark 工具 。 

(2) 在 启动 的 界面 的 菜单 栏 中 依次 选择 CapturelOptions 命令 ,或 者 单 击 工具 栏 中 的 图 
(显示 捕获 选项 ) 图 标 打开 Wireshark 捕获 选项 窗口 ， 如 图 10.4 所 示 。 


rm 0  Es 


Capture 
Capture Interface Link-layer header Prom. Mode Snaplen [8] Buffer IMiB] Capture Fiter ~ 
本 地 连接 
国 weo-60s1672t14ebfe48 Ethernet ensbled 。 defauk 2 arp 
19216852 上 
和 Dy 一 用 
Door eral notee 


Use promiscuous mode on all interfaces 


Ee FE Ce 


Capture Files Deplay Options 
Fle: Ci\Wireshark\arp.pcapng| Browse.. Update list of packets in realtime 
Use mskiple fles TD Automaticaly scroll during live capture 

Next fle every 


Next fie every 司 Hide capture info dialog 


司 Resolve MAC addresses 


1 
1 
Ring buffer with |2 
1 


Stop capture after 


Stop Capture Automaticaly After... 日 局 本 
四 |1 packet(s) 
加 | 司 Resolve transport-layer name 
回 |1 月 |megabyrets) ~ 
下 上 日 mnuea [=] 司 Use external network name resolver 


图 10.4 捕获 选项 窗口 
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(3) 在 该 界面 选择 捕获 接口 , 设置 捕获 过 滤器 及 捕获 文件 的 保存 位 置 , 如 图 10.4 所 示 。 
以 上 配置 信息 配置 完 后 ， 单 击 Start 按钮 开始 捕获 数据 ， 如 图 10.5 所 示 。 


厅 capturing from 本 地 连接 (arp) [Wireshark 1107 (vL107-0-g6b931al from master-110] 
He Edt Vew Go Capture Anayze Statstics Telephony Too5 Intemas Hep 

加 加 着 硬 避 | 四 牟 X 人 | 人 9 四 守业 | 辕 加 QQ 人 DI 硬 国 凤 区 | 台 
Fiker: | | Expression.. Clear Apply Save 

INo. Time Source Destination Protocol Length Info 


ml 


.本 地 连接 : <ive capture mn progress… 


No Packets Profie: Defaukt 


图 10.5 开始 捕获 ARP 包 


(4) 从 该 界面 可 以 看 到 ， 当 前 没有 捕获 到 任何 的 包 。 因 为 这 里 使 用 了 捕获 过 滤器 ， 仅 
捕获 ARP 包 。 但 是 ，ARP 包 是 不 会 主动 发 送 的 ， 需 要 主机 进行 通信 才 可 以 。 这 里 通过 在 
PC2 上 执行 ping 命令 ， 来 产生 ARP 包 供 Wireshark 捕获 。 执 行 命令 如 下 : 


C:\Users\lyw>ping 192.168.5.4 


执行 以 上 命令 后 ， 将 输出 如 下 所 示 的 信息 。 


正在 Ping 192.168.5.4 具有 32 字 节 的 数据 : 
来 自 192.168.5.4 的 回复 : 字 节 =32 时 间 <lms TTL=64 
来 自 192.168.5.4 的 回复 : 字 节 =32 时 间 <lms TTL=64 
来 自 192.168.5.4 的 回复 : 字 节 =32 时 间 <lms TTL=64 
来 自 192.168.5.4 的 回复 : 字 节 =32 时 间 <lms TTL=64 
192.168.5.4 的 Ping 统计 信息 : 

数据 包 : 已 发 送 = 4， 已 接收 = 4， 丢 失 = 0 (0% 丢失 )， 
往返 行程 的 估计 时 间 (以 毫秒 为 单位 ) : 

最 短 = 0ms， 最 长 = 0ms， 平 均 = 0ms 


从 输出 的 信息 中 ， 可 以 看 到 主机 PC2 (192.168.5.2) 向 主机 PC1 (192.168.5.4) 发 送 了 
4 个 数据 包 。 这 时 候 ，Wireshark 就 捕获 到 ARP 数据 包 了 ， 如 图 10.6 所 示 。 
srppcapng [Wireshark 1107 (v1.10.7-0-g6b931a1 from master-110 ER 一 X 
Ele Edt Yew Go Capture Anayze Statstxs Telephony Ioos Intemas Hep 
日 @@ 厦 面 芝 | 巴 外 X 包 | 人 9 中国 于 生 和 QI 本 加 罗 共 | 加 


Fer le Clear Apply Save 
| INo. Time 


Source 
ea 


st 168 Tell 
00 GQ 0 192 168 54 Sat 50:e5:49: 
ET itegro_3f:c3:e5 ARP 60 who has 192.168.5.2?7 Tell 5.4 
4 5.00795100 Elitegro_3f:c3:Giga-Byt_eb:46:8d 。 ARP 42 192.168.5.2 is at 00:19:21:3f:c3:e5 
加 


© | Fe: H:\taces\arp.pcapng”58.… | Packets: 4 * Displayed: 4 (100.... | Profie: Defaukt 


图 10.6 捕获 到 的 ARP 包 


从 该 界面 的 Protocol 列 ， 可 以 看 到 捕获 到 的 数据 包 都 是 ARP 协议 包 。 其 中 ，1、3 由 
是 ARP 请 求 包 ; 2、4 帧 是 响应 包 。 由 于 使 用 arp 过 滤器 ， 仅 可 以 过 滤 出 ARP 包 。 这 时 候 ， 
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分 析 


就 不 再 需要 进行 过 滤 或 导出 包 了 。 后 面 将 详细 分 析 arp.pcapng 捕获 文件 中 的 数据 包 。 


10.3 分析 ARP 协议 包 


通过 前 面 两 节 的 介绍 ， 大 家 对 ARP 也 有 了 大 概 的 了 解 ， 而 且 捕 获 了 ARP 协议 包 。 为 


了 帮助 用 户 更 清楚 地 理解 ARP 协议 ， 本 节 将 分 析 arp; 


10.3.1 ARP 报 文 格式 


pcapng 捕获 文件 中 的 数据 包 。 


在 分 析 ARP 协议 包 之 前 , 先 介 绍 一 下 它 的 报 文 格式 , 以 帮助 用 户 更 清楚 地 理解 每 个 包 。 


ARP 请 求 报 文 格式 如 表 10-1 所 示 。 


表 10-1 ARP 请 求 协议 报 文 格式 


广播 MAC 地址 (全 1 


目标 MAC 地 址 (广播 MAC 地址) 源 MAC 地 址 


源 MAC 地 址 
协议 类 型 


硬件 类 型 


协议 类 型 


硬件 地 址 长 度 
发 送 方 硬件 地 址 (前 32 
发 送 方 硬件 地 址 (后 16 位 ) 
发 送 方 全 地 址 (后 16 位》 


目标 硬件 地 址 (后 32 
目标 于 地 址 (32 位) 


操作 (请求 1) 
位 ) 
发 送 方 瑟 地 址 (前 16 位 ) 
目标 硬件 地 址 (前 16 位 ) 
) 


该 表 中 每 行 长 度 为 4 个 字 节 , 即 32 位 。 表 中 蓝 色 的 部 分 是 以 太 网 ( 指 Ethemet I 类型) 


的 帧 头 部 。 这 里 共 3 个 字段 ， 分 别 如 下 所 示 。 


口 第 1 个 字段 是 广播 类 型 的 MAC 地 址 : 0XFF-FF-FF-FF-FF-FF， 其 目标 是 网 络 上 的 


所 有 主机 。 


口 第 2 个 字段 是 源 MAC 地 址 ， 即 请 求 地 址 解析 的 主机 MAC 地 址 。 


硬件 类 型 : 表明 ARP 协议 实现 在 哪 种 类 型 的 
协议 类 型 :表示 解析 协议 (上 层 协 议 ) 。 这 是 
硬件 地 址 长 度 : MAC 地 址 长 度 ， 此 处 为 6 个 


BODD 


源 MAC 地 址 : 发 送 端 MAC 地 址 。 
源 耳 地址 : 表示 发 送 端 协议 地 址 〈 卫 地 址 ) 
目标 MAC 地 址 : 目标 端 MAC 地 址 。 


BBD 


口 第 3 个 字段 是 协议 类 型 ， 这 里 用 0X0806 代表 封装 的 上 层 协议 是 ARP 协议 。 
接 下 来 是 ARP 协议 报 文部 分 ， 其 中 各 个 字段 的 含义 如 下 。 


网 络 上 。 
一般 是 0800， 即 IP。 


ay 


FHs 


协议 地 址 长 度 : 人 P 地 址 长 度 ， 此 处 为 4 个 字 节 。 
操作 类 型 : 表示 ARP 协议 数据 报 类 型 。1 表示 ARP 协议 请 求 数 据 报 ，2 表示 ARP 
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口 目标 人 P 地 址 : 表示 目的 端 协议 地 址 (IP 地址 ) 。 
ARP 应 答 协议 报 文 和 ARP 请 求 协 议 报 文 类 似 。 不 同 的 是 ， 此 时 以 太 网 帧 头 部 的 目标 


MAC 地 址 为 发 送 ARP 协议 地 址 解析 请 求 的 MAC 地址， 而 源 MAC 地 址 为 被 解析 的 主机 
的 MAC 地 址 。 同 时 ， 操 作 类 型 字段 为 2， 表 示 ARP 协议 应 答 数据 报 ， 目 标 MAC 地 址 字 
段 被 填充 为 目标 MAC 地 址 。ARP 应 答 协 议 报 文 格式 如 表 10-2 所 示 。 


表 10-2 ARP 应 答 协议 报 文 格式 


广播 MAC 地 址 (全 1) 


目标 MAC 地 址 源 MAC 地 址 


源 MAC 地 址 
协议 类 型 


硬件 类 型 协议 类 型 


硬件 地 址 长 度 协议 长 度 十 操作 《响应 2) 


发 送 方 硬件 地 址 (前 32 位 ) 
发 送 方 硬件 地 址 (后 16 位 ) 发 送 方 他 地 址 (前 16 位 》 
发 送 方 呈 地 址 (后 16 位) 目标 硬件 地 址 (前 16 位) 


目标 硬件 地 址 (后 32 位 ) 
目标 于 地 址 (32 位 ) 


10.3.2 ARP 请求 包 


在 arp.pcapng 捕获 文件 中 ，ARP 请 求 包 如 图 10.7 所 示 。 


一 -一 一 


srp.pcapng [Wireshark 1.10.7 (v1.10.7-0-g6b931a1 from master-1.10)] [= .© es) 
Ele Edt Vew Go Capture Anayze Statstxs Telephony IToos jntemak Hep 
日 四 着 面 大 | 巴 四 其 包 | 六 各 加 于 业 | 四 加 | 人 QDII 机 加 网 区 | 加 


Fiker: | Expression.. Clear Apply Save 
Destination Protocol Length Info 
Broadcast ARP 42 Who 


各 上 


D Frame 1: 42 bytes on wire (336 bits), 42 bytes captured (336 bits) on interface 0 
H Ethernet II, Src: Elitegro_3f:c3:e5 (00:19:21:3f:c3:e5), Dst: Broadcast (ff:ff:ff:ff:ff:ff) 
DH Address Resolution Protocol (request) 


© Fame (frame), 42 bytes Packets: 4 * Displayed: 4 (100.0%) ……。 | Profie: Defauk 


图 10.7 ARP 请 求 包 


从 图 10.7 中 可 以 看 到 ， 第 一 个 数据 包 是 一 个 ARP 请 求 包 。 用 户 可 以 在 Wireshark 的 


Packet Details 面板 中 ， 检 查 以 太 网 头 部 来 确定 该 包 是 否 是 一 个 真 的 广播 数据 报 。 下 面 将 详 
细 介 绍 Packet Details 面板 中 的 每 行 信息 。 如 下 所 示 : 


Frame 1: 42 bytes on wire (336 bits), 42 bytes captured (336 bits) on interface 0 


以 上 内 容 表 示 这 是 第 1 帧 数据 报 的 详细 信息 。 其 中 ， 该 包 的 大 小 为 42 个 字 节 。 


Ethernet II, Src: Elitegro 3f:c3:e5 (00:19:21:3f:c3:e5), Dst: Broadcast 
(EE: EE EE EE EE EE) 


以 上 内 容 表示 以 太 网 帧 头 部 信息 。 其 中 源 MAC 地 址 为 00:19:21:3fc3:e5， 目 标 MAC 
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地 址 为 在 在任 在 储 任 (广播 地 址 ) 。 这 里 的 目标 地 址 为 广播 地 址 ， 是 因为 主机 PC2 不 知道 
PC1 主机 的 MAC 地 址 。 这 样 ， 局 域 网 中 所 有 设备 都 会 收 到 该 数据 报 。 

Address Resolution Protocol (request) 

以 上 内 容 表示 地 址 解析 协议 内 容 ，request 表示 该 包 是 一 个 请 求 包 。 在 该 包 中 包括 有 
ARP 更 详细 的 字段 信息 ， 如 下 所 示 。 


Address Resolution Protocol (request) #ARP 请 求 包 
Hardware type: Ethernet (1) # 硬 件 类 型 
Protocol type: IP (0x0800) # 协 议 类 型 
Hardware size: 6 # 硬 件 地 址 
Protocol size: 4 # 协 议长 度 
Opcode: request (1) # 操 作 码 。 该 值 为 1， 表示 是 个 ARP 请 求 包 
Sender MAC address: Elitegro 3f:c3:e5 (00:19:21:3f:c3:e5) # 发 送 端 MAC 地 址 
Sender IP address: 192.168.5.2 (192.168.5.2) # 发 送 端 IP 地 址 
Target MAC address: 00:00:00 00:00:00 (00:00:00:00:00:00) # 目 标 MAC 地 址 
Target IP address: 192.168.5.4 (192.168.5.4) # 目 标 IP 地 址 


通过 以 上 内 容 的 介绍 ， 可 以 确定 这 是 一 个 在 以 太 网 上 使 用 IP 的 ARP 请 求 。 从 该 内 容 
中 ， 可 以 看 到 发 送 方 的 I (192.168.5.2) 和 MAC 地 址 〈00:19:21:3fc3:e5) ， 以 及 接收 方 
的 IP 地 址 (192.168.5.4) 。 由 于 目前 还 不 知道 目标 主机 的 MAC 地 址 ， 所 以 这 里 的 目标 
MAC 地 址 为 00:00:00:00:00:00。 

关于 以 上 ARP 头 部 的 内 容 和 前 面 介绍 的 ARP 请 求 报 文 格式 是 相对 应 的 , 如 表 10-3 所 示 。 


表 10-3 ”ARP 请 求 报 文 格式 


Ethernet (1) IP (0x0800) 
6 request (1) 
00:19:21:3f: 
c3:e5 192.168. 
$2 00:00: 
00:00:00:00 
192.168.5.4 


10.3.3 ARP 响应 包 


在 arp pcapng 捕获 文件 中 ，ARP 响应 包 如 图 10.8 所 示 。 


A arp pcapng [wireshark 1107 wL107-0-96b931al fom master-110)] [RE 一 | 
Ele Edt Vew Go Capture Anayre Statstcs Telephony Ioo Intemas Hep 
名 全 着 面 台 | 记 外 X 仿 | 六 中国 于 业 | 四 国信 口 | 醒 加 昂 关 | 加 


Fiker | | Expression.. Clear Appy Save 


No Time Source Destination Protocol Length Info 
2 0.6 )0 Giga-Byt_eb:46:8d Elitegro_ 3f:c3:e5 ARP 60 192.168 


田 Frame 2: 60 bytes on wire (480 bits), 60 bytes captured (480 bits) on interface 0 
日 Ethernet II, Src: Giga-Byt_eb:46:8d (50:e5:49:eb:46:8d), Dst: Elitegro_3f:c3:e5 (00:19:21:3f:c3:e5) 
3 Address Resolution Protocol (reply) 


© Frame (frame), 60 bytes Packets: 4 * Displayed: 4 (100.0%)... Profie: Default 


图 10.8 ARP 响应 包 
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在 图 10.8 中 的 Packet Details 面板 中 ， 可 以 看 到 第 二 个 数据 包 是 一 个 ARP 响应 包 。 该 
包 中 的 信息 与 ARP 请 求 包 的 信息 类 似 。 但 是 也 有 几 处 不 同 。 下 面 将 详细 介绍 ， 如 下 所 示 : 


Frame 2: 60 bytes on wire (480 bits), 60 bytes captured (480 bits) on interface 0 


以 上 信息 表示 这 是 第 二 个 数据 包 的 详细 信息 。 其 中 ， 该 包 的 大 小 为 60 个 字 节 。 


Ethernet jE es 


Giga-Byt eb:46:8d 


Elitegro 3f:c3:e5 (00:19:21:3f:c3:e5) 


以 上 内 容 是 以 太 网 帧 头 部 的 信息 。 其中, 源 MAC 地 址 为 50:e5:49:eb:46:8d, 目标 MAC 
地 址 为 00:19:21:3fc3:e5。 从 该 行 信息 中 ， 可 以 知道 PC2 获取 到 了 PC1 主机 的 MAC 地址 。 


这 样 就 可 以 正常 通信 了 。 


Address Resolution Protocol (reply) 


以 上 内 容 表 示 这 是 一 个 ARP 响应 包 。 该 包 中 详细 内 容 如 下 所 示 。 


Address Resolution Protocol (reply) 
Hardware type: Ethernet (1) 
Protocol type: IP (0x0800) 


Hardware size: 6 
Protocol size: 4 
Opcode: reply (2) 


Sender MAC address: 
Sender IP address: 
Target MAC address: 
Target IP address: 


(50:e5:49:eb:46:8d), Dst: 


#ARP 应 答 包 

## 硬 件 类 型 

# 协 议 类 型 

# 硬 件 长 度 

# 协 议长 度 

# 操 作 人 码 为 2, 表示 该 包 是 ARP 响应 包 
Giga-Byt eb:46:8d (50:e5:49:eb:46:8d) # 发 送 方 MAC 地 址 
192.168.5.4 (192.168.5.4) # 发 送 方 IP 地 址 
Elitegro 3f:c3:e5 (00:19:21:3f:c3:e5) # 目 标 MAC 地 址 
192.168.5.2 (192.168.5.2) # 目 标 IP 地 址 


以 上 ARP 响应 包 中 的 信息 与 它 的 报 文 格式 也 是 相对 应 的 ， 如 表 10-4 所 示 。 


表 10-4 ARP 响应 报 文 格式 


Ethernet (1) IP (0x0800) 
6 reply (2) 
50:e5:49:eb: 
46:8d 192.168 
5.4 00:19: 
21:3f:c3:e5 
192.168.5.2 
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互联 网 协议 了 P 是 Intemet Protocol 的 缩写 ， 中 文 缩写 为 “网 协 ”。JP 协议 是 位 于 OSI 
模型 中 第 三 层 的 协议 ， 其 主要 目的 就 是 使 得 网 络 间 能 够 互联 通信 。 前 面 介绍 了 ARP 协议 ， 
该 协议 用 在 第 二 层 处 理 单 一 网 络 中 的 通信 。 与 其 类 似 ， 第 三 层 则 负责 跨 网 络 通信 的 地 址 。 
在 这 层 上 工作 的 不 止 一 个 协议 ， 但 是 最 普遍 的 就 是 互联 网 协议 (IP) 。 本 章 将 介绍 互联 网 
协议 (IP) 抓 包 分 析 。 


11.1 互联 网 协议 (了 PT) 概述 


互联 网 协议 也 就 是 为 计算 机 相互 连接 进行 通信 而 设计 的 协议 。 在 因特网 中 ， 它 是 能 使 
连接 到 网 上 的 所 有 计算 机 网 络 实现 相互 通信 的 一 套 规则 ， 并 且 规定 了 计算 机 在 因特网 上 进 
行 通信 时 应 遵守 的 规则 。 本 节 将 介绍 互联 网 协议 概述 。 


11.1.1 互联 网 协议 地 址 (IP 地 址 ) 的 由 来 


互联 网 协议 地 址 (Intermet Protocol Address， 又 译 为 网 际 协 议 地 址 ) ， 缩 写 为 卫 地 址 
(IP Address) 。 在 上 一 章 介 绍 了 ARP 协议 ， 通 过 分 析 包 可 以 发 现 它 是 依靠 MAC 地 址 发 送 
数据 的 。 但 是 ， 这 样 做 有 一 个 重大 的 缺点 。 当 ARP 以 广播 方式 发 送 数据 包 时 ， 需 要 确保 所 
有 设备 都 要 接收 到 该 数据 包 。 这 样 ， 不 仅 传输 效率 低 ， 而 且 局 限 在 发 送 者 所 在 的 子 网 络 。 
也 就 是 说 ， 如 果 两 台 计 算 机 不 在 同一 个 子 网 络 ， 广 播 是 传 不 过 去 的 。 这 种 设计 是 合理 的 ， 
否则 互联 网 上 每 一 台 计 算 机 都 会 收 到 所 有 包 ， 这 将 会 导致 网 络 受到 危害 。 

互联 网 是 无 数 子 网 共同 组 成 的 一 个 巨型 网 络 ， 如 图 11.1 所 示 。 

图 11.1 就 是 一 个 简单 的 互联 网 环境 ， 这 里 列 出 了 两 个 子 网 络 。 如 果 想 要 所 有 电脑 都 在 
同一 个 子 网 络 内 ， 这 几乎 是 不 可 能 的 。 所 以 ， 需 要 找 一 种 方法 来 区 分 哪些 MAC 地 址 属于 
同一 个 子 网 络 ， 哪 些 不 是 。 如 果 是 同一 个 子 网 络 ， 就 采用 广播 方式 发 送 。 否 则 就 采用 “路 
由 ”发 送 。 这 也 是 在 OSI 七 层 模型 中 “网 络 层 ” 产 生 的 原因 。 

它 的 作用 就 是 引进 一 套 新 的 地 址 ， 使 得 用 户 能 够 区 分 不 同 的 计算 机 是 否 属于 同一 个 子 
网 络 。 这 套 地 址 就 叫做 “网 络 地 址 ”， 简 称 “ 网 址 ”。 但是， 人们 一 般 叫 做 是 了 P 地 址 。 这 
样 每 台 计 算 机 就 有 了 两 种 地 址 ， 一 种 是 MAC 地 址 ， 另 一 种 是 网 络 地 址 ( 卫 地址 〉。 但 是 ， 
这 两 种 地 址 之 间 没 有 任何 联系 ，MAC 地 址 是 绑 定 在 网 卡 上 的 ， 网 络 地 址 是 管理 员 分 配 的 ， 
它们 只 是 随机 组 合 在 一 起 。 


第 2 篇 网 络 协议 分 析 篇 


子 网 络 子 网 络 


图 11.1 互联 网 


11.1.2 IP 地 址 


IP 地 址 是 IP 协议 提供 的 一 种 统一 的 地 址 格式 。 它 为 互联 网 上 的 每 一 个 网 络 和 每 一 台 
主机 分 配 一 个 逻辑 地 址 , 以 此 来 屏蔽 物理 地 址 的 差异 。 IP 地 址 分 为 IPv4 (IP 协议 的 第 四 版 ) 
和 IPv6 (了 协议 的 第 六 版 ) 两 大 类 。 目 前 ， 最 广泛 使 用 的 是 IPv4。 在 该 版 本 中 规定 ， 该 地 
址 是 由 32 个 二 进 制 位 组 成 ， 用 来 标识 连接 到 网 络 的 设备 。 由 于 让 用 户 记 住 一 串 32 位 长 的 
01 字符 确实 比较 困难 ， 所 以 IP 地 址 采用 点 分 四 组 的 表示 法 。 下 面 以 IPv4 地 址 ， 来 介绍 点 
分 四 组 表示 法 。 

在 点 分 四 组 表示 法 中 ， 以 A B. GD 的 形 ss 2 | 本 | 


式 构 成 人 P 地 址 的 四 组 1 和 0。 它们 分 别 转 换 为 十 102 168 0 1 
进 制 0 一 255 之 间 的 数 ， 如 图 11.2 所 示 。 | [一 -一 
图 11.2 显示 了 IPv4 地 址 11000000.10101000. 192 . 168 .0.1 


00000000.00000001， 进 行 了 点 分 四 组 的 表示 法 。 

从 图 11.2 中 , 可 以 看 到 这 样 一 串 32 位 长 的 数字 很 

不 容易 记 住 或 者 表示 。 但 是 采用 点 分 四 组 的 表示 法 ， 就 可 以 将 以 上 一 个 很 长 的 字符 串 表 示 
为 192.168.0.1。 这 样 ， 用 户 就 比较 容易 记 住 。 


图 11.2 IPv4 地 址 的 点 分 四 组 表示 法 


11.1.3 ”IP 地 址 的 构成 


卫 地 址 之 所 以 会 被 分 成 四 个 单独 的 部 分 ， 是 因为 每 个 卫 地 址 都 包含 两 个 部 分 ， 分 别 
是 网 络 地 址 和 主机 地 址 。 网 络 地 址 用 来 标识 设备 所 连接 到 的 局 域 网 ， 而 主机 地 址 则 标识 
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个 网 络 中 的 设备 本 身 。 例 如 , IP 地址 172.16.254.1 是 一 个 32 位 的 地 址 。 假设 它 的 网 络 部 分 
是 前 24 位 (192.168.254) ， 那 么 主机 部 分 就 是 后 8 位 (1) 。 处 于 同一 个 子 网 络 的 计算 机 ， 
它们 下 地 址 的 网 络 部 分 必定 是 相同 的 。 也 就 是 说 172.16.254.2 应 该 与 172.16.254.1 处 在 同 
一 个 子 网 络 。 

但 是 ， 只 查看 瑟 地 址 是 无 法 判断 网 络 部 分 的 。 这 时 候 就 需要 使 用 另 一 个 参数 “ 子 网 掩 
码 ” 来 判断 。 所 谓 的 “ 子 网 掩 码 ”就 是 表示 子 网 络 特 征 的 一 个 参数 。 它 在 形式 上 等 同 于 人 P 
地 址 ， 也 是 一 个 32 位 二 进 制 数字 。 它 的 网 络 部 分 全 部 为 1， 主 机 部 分 全 部 为 0。 

下 面 以 PP 地址 10.10.1.22 为 例 ， 其 二 进 制 形 式 为 00001010.00001010.00000001. 
00010110。 为 了 能 够 区 分 出 IP 地 址 的 每 一 个 部 分 ， 将 使 用 子 网 掩 码 来 表示 。 在 本 例 中 ， 
10.10.1.22 的 子 网 掩 码 是 11111111.11111111.00000000.00000000。 这 就 意味 着 IP 地 址 的 前 
一 半 (10.10 或 者 00001010.00001010) 是 网 络 地 址 , 而 后 一 半 (1.22 或 者 00000001.00010110) 
表示 该 网 络 上 的 主机 ， 如 图 11.3 所 示 。 


! 


10. 10. 1.22 “| 一 一 00001010 00001010 00000001 00010110 
| 0 


23555255.0.0 | 一 “iiillll 11111111 00000000 00000000 


| 网 络 主机 
网 络 主机 


图 11.3 子 网 挖 码 决定 了 了 P 地 址 中 比特 位 的 分 配 


在 该 图 中 的 子 网 掩 码 也 可 以 写成 点 分 四 组 的 形式 。 比 如 子 网 掩 码 
11111111.11111111.0000000.0000000， 可 以 被 写成 255.255.0.0。 

IP 地 址 和 子 网 掩 码 为 简便 起 见 , 通常 会 被 写成 无 类 型 域 间 选 路 (Classless Inter Domain 
Routing，CIDR) 的 形式 。 在 这 种 形式 下 ， 一 个 完整 的 瑟 地 址 后 面 会 有 一 个 左 斜 枉 〈/) ， 
以 及 一 个 用 来 表示 IP 地 址 中 网 络 部 分 位 数 的 数字 。 例 如 ，IP 地 址 10.10.1.22 和 网 络 掩 码 
255.255.0.0， 在 CIDR 表示 法 下 就 会 被 写成 10.10.1.22/16 的 形式 。 


11.2 ”捕获 IP 数据 包 


了 解 全 协议 的 一 些 基 础 知识 后 , 就 可 以 使 用 Wireshark 捕获 并 分 析 卫 协议 包 了 。 在 捕 
获 包 之 前 ， 需 要 先 确定 Wireshark 的 位 置 及 使 用 的 捕获 过 滤器 等 。 本 节 将 介绍 捕获 IP 协 
议 包 。 


11.2.1 什么 是 IP 数据 报 


TCP/IP 协议 定义 了 一 个 在 因特网 上 传输 的 包 ， 称 为 他 数据 报 (IP Datagram) 。IP 数 
据 报 是 一 个 与 硬件 无 关 的 虚拟 包 ， 由 首部 (header) 和 数据 两 部 分 组 成 。 首 部 部 分 主要 
包括 版 本 、 长 度 和 IP 地 址 等 信息 。 数 据 部 分 一 般 用 来 传送 其 他 的 协议 ， 如 TCP、UDP 和 
ICMP 等 。 
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卫 数据 报 的 “首部 ”部 分 的 长 度 为 20 一 60 个 字 节 ， 整 个 数据 报 的 总 长 度 最 大 为 65535 
字 节 。 因 此 ， 理 论 上 一 个 数据 报 的 “数据 ”部 分 ， 最 长 为 65515 字 节 。 由 于 以 太 网 数据 报 
的 “数据 ”部 分 最 长 只 有 1500 字 节 ， 因 此 如 果 下 数据 报 超 过 了 1500 字 节 ， 就 需要 分 割 成 
几 个 以 太 网 数据 包 分 开发 送 了 。 


11.2.2 ”Wireshark 位 置 


捕获 IP 协议 包 和 其 他 包 有 点 区 别 ， 因 为 在 人 P 协议 中 涉及 到 一 个 TTL (time-to-live， 
生存 时 间 ) 值 问题 。TTL 值 指定 数据 包 被 路 由 器 丢弃 之 前 允许 通过 的 网 段 数量 。 当 数据 包 
每 经 过 一 个 路 由 器 ， 其 TTL 值 将 会 减 1。 关 于 TIL 的 详细 信息 ， 在 后 面 进行 介绍 。 下 面 将 
介绍 捕获 IP 协议 包 ， 及 Wireshark 的 捕获 位 置 。 

为 了 证 明 TTL 值 的 变化 ， 本 例 中 选择 使 用 两 个 路 由 器 来 捕获 数据 包 。 捕 获 卫 协议 数 
据 包 的 实验 环境 如 图 11.4 所 示 。 


: 192.|168.6. 103 


PC2 


vcr 
WIRESHARK 


图 11.4 Wireshark 位 置 


从 图 11.4 中 ， 可 以 看 到 使 用 两 个 路 由 器 ， 将 三 台 主 机 分 割 成 两 个 网 段 。 这 三 台 主 机 的 
IP 地 址 ， 在 图 11.4 中 已 经 标 出 。 在 本 例 中 ，Wireshark 可 以 在 PC1 和 PC 的 下 协议 包 。 如 
果 在 PC3 上 捕获 数据 包 ， 则 只 能 捕获 同 网 段 的 他 数据 包 。 
11.2.3 捕获 IP 数据 包 

Wireshark 工具 提供 了 捕获 人 P 数据 包 的 捕获 过 滤器 。 下 面 介绍 使 用 人 P 捕获 过 滤器 ， 捕 
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获 所 有 也 包 。 具 体操 作 步 又 如 下 所 示 。 

(1) 启动 Wireshark 捕获 工具 。 

(2) 在 Wireshark 主 界面 的 菜单 栏 中 依次 选择 CapturelOptions 命令 ， 或 者 单 击 工 具 栏 
中 的 图 (显示 捕获 选项 ) 图 标 打 开 Wireshark 捕获 选项 窗口 ， 如 图 11.5 所 示 。 


© Capture on allinterfaces 

园 Use promiscuous mode on all interfaces 
CT | 
Capture Fles Desplay Options 

Fle: | CAWiresharkAip.pcapng| Browse- BD Update list of packets in real ime 


© use multiple files 加 Use pcap-ng format 园 Automatically scroll during live capture 
习 Next file every 1 > Imegabyte(s) 


| 回 Hide capture info dialog 


] Next fle every 1 |minutets) 


Ring buffer with [2 目 fies Name Resolution 
] stop capture after a fie(s) Resolve MAC addresses 
© Resoke network-layer names 
月 packet(s) 


E Resolve transport-layer name 
目 |megabye(s) |-| 


Use external network name resolver 


Cgen | (gor | 


11.5 捕获 选项 界面 


(3) 在 该 界面 选择 捕获 接口 ， 并 设置 捕获 过 滤器 及 捕获 文件 的 位 置 ， 如 图 11.5 所 示 。 
以 上 信息 配置 完 后 单 击 Start 按钮 开始 捕获 数据 包 ， 如 图 11.6 所 示 。 


合力 古本 达 | 芭 四 X 亿 | 六 9 和 四 节 业 | 国 加 QQDl 配 加 凤 共 | 世 
[=] xpression. Clear Apply Save 
Protocol Length Info 


图 11.6 开始 捕获 数据 包 


"Os 


第 2 篇 网 络 协议 分 析 篇 


(4) 从 该 界面 可 以 看 到 ， 此 时 没有 捕获 到 任何 的 数据 包 。 这 是 因为 目前 没有 进行 任 
何 操作 ， 所 以 无 法 捕获 到 任何 数据 包 。 用 户 可 以 通过 很 多 种 方法 ， 来 捕获 卫 协议 包 ， 如 
访问 一 个 网 页 ， 执 行 ping 命令 等 。 如 果 用 户 不 是 很 清楚 一 些 协议 ， 最 好 通过 执行 ping 
命令 来 捕获 数据 包 ， 以 免 捕获 大 量 的 包 ， 使 用 户 无 法 很 好 地 分 析 。 下 面 分 别 介绍 这 两 种 
方法 。 

1. 访问 一 个 网 页 

打开 浏览 器 ， 访 问 http://www.baidu.com 网 站 ， 将 捕获 到 如 图 11.7 所 示 的 界面 。 


帮 iplpcapng [Wireshark 110.7 (v1.107-0-g6b931al fom master-110)] [=1® ll 
Fle Edt Vew Go Capture Anavze Statstics Telephony Toos Intemas Hep 
©@#Ald|S 由 XSIA9 人 中 名 | 国 国 QQQ| 丁 国 罗 尖 | 回 


Fikter: [= | expression.. or 


No. 2 Time Source Destination Protocol Length Info . 
15 33.652026000 192.168.5.2 192.168.5.1 DNS 71 Standard query 0x9lef A c.pc.qq.t 
16 33.672263000 192.168.5.1 192.168.5.2 DNS 160 standard query response Ox9lef CI 
17 33.703004000 192.168.5.2 111.161.48.216 TCP 66 49896 > http [SYN] Seq=0 wine8192 | 
18 33.733855000 111.161.48.21192.168.5.2 TCP 60 http > 49896 [SYN, ACK] Seq=0 Ack 

19 33.733983000 192.168.5.2 111.161.48.216 TCP 54 49896 > http [ACK] Seq=l Ack=1 Wi 
20 33.803076000 192.168.5.2 111.161.48.216 212 GET /fcgi-bin/yjgf?t=l HTTP/1.1 


22 33. 833120000 111.161.48.21192.168.5.2 60 http > 49896 [ACK] Seq=1 Ack=159 \ 

23 33.954019000 111.161.48.21192.168.5.2 HTTP 310 HTTP/1.1 200 OK (text/javascript. 

24 33.954129000 111.161.48.21192.168.5.2 TCP 60 http > 49896 [FIN，ACK] Seq=257 At 

25 33.954182000 192.168.5.2 111.161.48.216 54 49896 > http [ACK] Seq=159 Ack=25! ~ 
中 


mm 


@ i Fle: Cer Nima De Packets... | Profile: Default 


图 11.7 捕获 到 的 下 协议 包 


从 该 界面 的 Protocol 列 ， 可 以 看 到 捕获 到 DNS、TCP、HTTP 等 协议 的 包 。 在 这 些 包 
中 ， 都 包含 有 于 头 部 的 详细 信息 。 但 是 ， 这 样 可 能 会 影响 对 人 P 协议 包 的 分 析 。 这 里 将 该 
捕获 文件 保存 为 ipl.pcapng。 


2. 执行 ping 命 令 


为 了 不 受 很 多 协议 的 影响 ， 这 里 通过 执行 ping 命令 仅 捕获 ICMP 协议 的 数据 包 。 此 时 
在 主机 PC1 上 执行 ping 命令 ， 分 别 pingPC2 和 PC3。 执 行 命令 如 下 : 

C:\Users\Administrator>ping 192.168.5.4 

C:\Users\Administrator>ping 192.168.6.103 

执行 以 上 命令 后 ， 捕 获 到 的 数据 包 如 图 11.8 所 示 。 

从 该 界面 的 Protocol 列 ， 可 以 看 到 都 是 ICMP 协议 的 包 ， 而 且 每 个 包 的 颜色 也 都 是 相 
同 的。 虽然 从 该 界面 看 到 捕获 到 的 数据 包 很 多 ， 但 是 只 需要 分 析 其 中 两 个 包 ， 就 可 以 很 清 
楚 地 理解 P 协议 包 格 式 。 此 时 ， 用 户 还 可 以 使 用 下 的 显示 过 滤器 对 数据 包 进 行 过 滤 。 如 
过 滤 仅 显示 主机 PC3 (192.168.6.103) 的 数据 包 ， 输 入 过 滤器 ip.addr 一 192.168.6.103， 显 
示 界 面 如 图 11.9 所 示 。 
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[Aerore Wetot io7 iso7 omiton marrtiol 


Ele Edt View Go Capture Anayze Statistics Telephony Iook intemas Hep 
SOONA|EDEO 和 SA 中 DOF @QQI 醒 国 遇 关 | 加 
Fer [<] Epression.. Clear mppy Save 
INo Time Source Destination Protocol Length info [a 
2 0.00027400 192.168.5.4 192.168.5.2 ICMP 74 RE | 
3 0.99743600 192.168.5.2 192.168.5.4 ICMP 74 Echo (ping) request id=0x00| 
4 0.99777400 192.168.5.4 192.168.5.2 ICMP 74 Echo (ping) reply id-0x00| 
5 1.99737400 192.168. 5.2 192.168.5.4 ICMP 74 Echo (ping) request id=0x00| 
6 1.99768900 192.168. 5.4 192.168. 5.2 ICMP 74 Echo (ping) reply id=0x00| 
7 2.99746700 192.168.5.2 192.168.5.4 ICMP 74 Echo (ping) request id=0x00| 
8 2.99778400 192.168.5.4 192.168.5.2 ICMP 74 Echo (ping) reply id=0x00| 
9 11.4912750192.168.5.2 192.168.6.103 ICMP 74 Echo (ping) request id=0x00 
10 11.4925200 192.168.6.103 192.168. 5.2 ICMP 74 Echo (ping) reply id=0x00| 
11 12.4830070 192.168.5.2 192.168.6.103 ICMP 74 Echo (ping) request id=0x00| 
12 12.4842660 192.168.6.103 192.168.5.2 ICMP 74 Echo (ping) reply id=0x00 
13 13.4831100 192.168. 5.2 192.168.6.103 ICMP 74 Echo (ping) request id=0x00 
14 13.4843600 192.168. 6.103 192.168.5.2 ICMP 74 Echo (ping) reply id=0x00| 
15 14.4832130 192.168.5.2 192.168.6.103 ICMP 74 Echo (ping) request id"w0x00— 
16 14.4844160 192.168.6.103 192.168.5.2 ITCMP 74 Echo (pinq) reply id=0x00 ~ 
a 站 | ; 
© W | Fie: "H:\traces\p.pcapng" 197... | Packets: 16 * Displayed: 16 (100.0%) * Load time: 0:00.000 | Profie: Defauk 


图 11.8 执行 ping 命令 捕获 到 的 下 协议 包 


ippcapng IWireshark 1107 (wl107-0-96blalfiommasterli]  。。。。。。 蔬 虽 攻 森 
Ble Edt View Go Capture Anayze Statistics Telephony Tooks Intemas Hep 
dH| 饭 的 其 多 | 人 + 个 加 卫生 | 国 国 QQQ 昌 | 管 国 罗 状 » 


Fier oda peson coor soy san 


No， Time Source Destination Protocol Length Info 


10 11.4925200 192.168.6.103 192.168.5.2 © (ping) reply 
11 12.4830070 192.168.5.2 192.168.6.103 (ping) request 
12 12.4842660 192.168. 6.103 192.168.5.2 (ping) reply 
13 13.4831100 192.168.5.2 192.168.6.103 (ping) request 
14 13.4843600 192.168.6.103 192.168.5.2 (ping) reply 


15 14.4832130 192.168.5.2 192.168.6.103 (ping) request 
(ping) reply 


vw 


图 11.9 仅 显 示 192.168.6.103 的 数据 包 
从 该 界面 可 以 看 到 ， 以 上 数据 包 都 是 发 送 / 来 自 192.168.6.103 的 数据 包 。 


11.2.4 捕获 IP 分 片 数据 包 


在 上 面 提 到 过 ， 如 果 一 个 数据 包 超 过 1500 个 字 节 ， 就 需要 将 该 包 进 行 分 片 发 送 。 通 
常情 况 下 ， 是 不 会 出 现 这 种 情况 的 。 但 是 为 了 帮助 用 户 更 清晰 地 理解 人 P 协议 ， 下面 通 过 使 
用 ICMP 包 ， 来 产生 也 分 片 数 据 包 。 本 小 节 将 介绍 如 何 捕 获 到 卫 分 片 数据 包 。 

使 用 ICMP 包 进 行 测试 时 ， 如 果 不 指定 包 的 大 小 ， 可 能 无 法 查看 到 被 分 片 的 数据 包 。 
由 于 了 P 首部 占用 20 个 字 节 , ICMP 首部 占 8 个 字 节 , 所 以 捕获 到 ICMP 包 大 小 最 大 为 1472 
字 节 。 但 是 一 般 情况 下 , ping 命令 默认 的 大 小 都 不 会 超过 1472 个 字 节 。 这 样 , 发 送 的 ICMP 
报 文 就 可 以 顺利 通过 ， 不 需要 经 过 分 片 后 再 传输 。 如 果 想 要 捕获 到 卫 分 片 包 ， 需 要 指定 发 
送 的 ICMP 包 必 须 大 于 1472 字 节 。 

捕获 下 分 片 的 数据 包 的 具体 操作 步骤 如 下 所 示 。 
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(1) 启动 Wireshark 捕获 工具 。 
(2) 在 Wireshark 主 界面 的 菜单 栏 中 依次 选择 Capture|lOptions 命令 ， 或 者 单 击 工具 栏 
中 的 图 (显示 捕获 选项 ) 图 标 打 开 Wireshark 捕获 选项 窗口 ， 如 图 11.10 所 示 。 


Link-layer header Prom. Mode Snaplen [B] Buffer [MiB] Capture Filter ~ 


enabled ~ defauk 


回 Capture on all interfaces 
Use promiscuous mode on all interfaces 


Fie: [CAWiresharkVip-fragment.pcapng @ Update fist of peckets in real time 


Ne pe 园 Automatically scroll during live capture 
BB |megabyte(s) = 


Eminute(s) [=] 园 Hide capture info dialog 


Ring buffer with = Name Resoution 


Stop capture after = Resolve MAC addresses 


© Resoke network-layer names 
习 packet(s) 
I Ee 国 Resolve transport-layer name 
习 Imegabyte(s) | ~ 
目 mnueo |- 园 Use external network name resolver 


图 11.10 ”捕获 选项 界面 


(3) 在 该 界面 设置 捕获 接口 、 捕 获 过 滤器 及 捕获 文件 的 位 置 。 这 里 将 捕获 的 数据 保存 
到 ip-fragment.pcapng 捕获 文件 中 ， 如 图 11.10 所 示 。 以 上 信息 配置 完 后 ， 单 击 Start 按钮 
开始 捕获 数据 包 ， 如 图 11.11 所 示 。 


Fe Ed Vew Go Capture Anavie Stateics Telephony Ioog Intemas Heb 

全 关 关 二 | 色 的 尖 多 | 人 9 个 名 卫生 | 国 辐 QQQO 西田 蝎 交 | 加 
四 pression- cear Appy Save 
protocol Length Info 


图 11.11 开始 捕获 数据 包 
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此 时 在 主机 PC1 上 执行 ping 命令 ， 以 产生 ICMP 数据 包 。 执 行 命令 如 下 : 


C:\Users\lyw>ping 192.168.5.4 -1 3000 


在 该 命令 中 ， 使 用 -1 选项 指定 捕获 包 的 大 小 为 3000 字 节 。 执 行 以 上 命令 后 ， 将 显示 
如 下 信息 : 

正在 Ping 192.168.5.4 具有 3000 字 节 的 数据 : 

来 自 192.168.5.4 的 回复 : 字 节 =3000 时 间 =5ms TTL=64 

来 自 192.168.5.4 的 回复 : 字 节 =3000 时 间 =5ms TTL=64 


来 自 192.168.5.4 的 回复 : 字 节 =3000 时 间 =5ms TTL=64 
来 自 192.168.5.4 的 回复 : 字 节 =3000 时 间 =5ms TTL=64 


从 以 上 输出 信息 中 ， 可 以 看 到 捕获 到 每 个 包 的 大 小 都 为 3000 字 节 。 这 时 候 ， 返 回 到 
Wireshark 界面 停止 捕获 数据 ， 将 显示 如 图 11.12 所 示 的 界面 。 


Mipfragmentpcapng [Wireshark 1107 (vlL107-0-96b93lalfrommasterl10l = lelelR 
Ele Edt Vew Go Capture Anayze Statstics Telephony Iooks Intemas Hep 
@ 加 着 曾 大 | 巴 外 X 包 | 人 9 中国 下 业 QQQDOI 醒 国 昂 尖 | 台 


Fer [= | xpression.. Clear Apply Save 

No. Time Source Destination Protocol Length Info 
1 0.000000000 192.168.5.2 192.168.5.4 IPv4 1514 Fragmented IP protocol (proto=ICMP 1, d 
20.000019000 192.168.5.2 192.168.5.4 IPV4 1514 Fragmented IP prorocol (proto=ICMP 1, ( 
30.000026000 192.168.5.2 192.168.5.4 ICMP 82 Echo (ping) request id=0x0001, seq=1/’ 和 
4 0.004116000 192.168.5.4 192.168.5.2  IPv4 1514 Fragmented IP prorocol (proto=ICMP 1, 
5 0.005347000 192.168.5.4 192.168.5.2 Ipv4 1514 Fragmented IP protocol (proto=ICMP 1, 
60.005411000 192.168.5.4 192.168.5.2 ICMP 82 Echo (ping) reply id=0x0001,，seq=1/; 
71.001109000 192.168.5.2 192.168.5.4 IPv4 1514 Fragmented IP protocol (proto=ICMP 1, ¢ 
8 1.001138000 192.168.5.2 192.168.5.4 IPv4 1514 Fragmented IP protocol (proto=ICMP 1, ¢ 
91.001149000 192.168.5.2 192.168.5.4 ICMP 82 Echo (ping) request id=0x0001, seq=2/' 
10 1.005195000 192.168.5.4 192.168.5.2 IPpv4 1514 Fragmented IP protocol (proto=ICMP 1, ¢ 
11 1.006422000 192.168.5.4 192.168.5.2 IPpv4 1514 Fragmented IP protocol (proto=ICMP 1, ¢ 
12 1.006504000 192.168.5.4 192.168.5.2 ”ICMP 82 Echo (ping) reply id-0x0001, seq=2/: - 
13? >、 nnnnamanmm nn 1ce EY +onm 1ce EE 4 Tm E14 rom aa anne room 

4 mn ] 上 

© | Fe: “Zz:\p-fragment.pcapng" 2... | Packets: 24 * Displayed: 24 (100.... | Profie: Defauik 


图 11.12 下 分 片 数 据 包 


从 该 界面 可 以 很 清楚 地 看 到 ， 和 前 面 捕获 到 的 数据 包 不 同 。 在 该 界面 的 Protocol 列 ， 
显示 了 IPv4 协议 的 包 。 这 是 因为 发 送 的 数据 包 过 大 ,所 以 是 经 过 了 分 片 后 发 送 的 。 关于 人 P 
分 片 数 据 包 ， 将 在 后 面 进行 介绍 。 


11.3 ”IP 数据 报 首部 格式 


源 下 地 址 和 目的 于 地 址 都 是 IPv4 数据 报 首部 最 重要 的 组 成 部 分 。 但 是 ,在 首部 固定 
部 分 的 后 面 还 有 一 些 可 选 字段 , 并且 其 长 度 是 可 变 的 。 下 面 将 详细 介绍 他 数据 报 首部 格式 ， 
如 表 11-1 所 示 。 
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表 11-1 1IP 数 据 报 首部 格式 


下 协议 
偏 移 位 0~3 4~7 8~15 16~18 | 19~31 
0 版 本 首部 长 度 服务 类 型 总 长 度 
32 标识 符 标记 分 段 偏 移 


存活 时 间 协议 首部 校 验 和 


96 源 全 地 址 
128 目的 他 地 址 
160 选项 
160 或 192+ 数据 
在 表 11-1 中 ， 每 个 字段 代表 的 含义 如 下 所 示 。 
口 版 本 号 : 指 卫 协议 所 使 用 的 版 本 。 通 信 双 方 使 用 的 卫 协议 版 本 必须 一 致 。 目 前 广 
泛 使 用 的 下 协议 版 本 号 为 4， 即 IPv4。 
口 首部 长 度 : IP 的 首部 长 度 ， 可 表示 的 最 大 十 进 制 数值 是 15。 注 意 ， 该 字段 所 表示 
的 单位 是 32 位 字 长 (4 个 字 节 ) 。 因 此 ， 当 了 P 首部 长 度 为 1111( 即 十 进 制 的 15) 
时 ， 首 部 长 度 就 达到 60 字 节 。 当 IP 分 组 的 首部 长 度 不 是 4 字 节 的 整数 倍 时 ， 必 
须 利 用 最 后 的 填充 字段 加 以 填充 。 
口 服务 类 型 : 优先 级 标志 位 和 服务 类 型 标志 位 ， 被 路 由 器 用 来 进行 流量 的 优先 排序 。 
口 总 长 度 : 指 卫 首部 和 数据 报 中 数据 之 后 的 长 度 ， 单 位 为 字 节 。 总 长 度 字 段 为 16 
位 ， 因 此 数据 报 的 最 大 长 度 为 25-1=65535 字 节 。 
口 标识 符 : 一 个 唯一 的 标识 数字 ， 用 来 识别 一 个 数据 报 或 者 被 分 片 数 据 包 的 次 序 。 
口 标识 : 用 来 标识 一 个 数据 包 是 否 是 一 组 分 片 数据 包 的 一 部 分 。 标 志 字 段 中 的 最 低 
位 记 为 MF (More Fragment) 。MF=1 即 表 示 后 面 “ 还 有 分 片 ”的 数据 包 。MF=0 
表示 这 已 是 若干 数据 包 分 片 中 的 最 后 一 个 。 标 志 字 段 中 间 的 一 位 记 为 DF (Don't 
Fragment) ， 意 思 是 “不 能 分 片 ”。 只 有 当 DF=0 时 ， 才 允许 分 片 。 
口 分 片 偏 移 ， 一 个 数据 包 是 一 个 分 片 ， 这 个 域 中 的 值 就 会 被 用 来 将 数据 报 以 正确 的 
顺序 重新 组 装 。 
口 存活 时 间 : 用 来 定义 数据 报 的 生存 周期 ， 以 经 过 路 由 器 的 条 数 / 秒 数 进行 描述 。 
口 协议 : 用 来 识别 在 数据 包 序列 中 上 层 协议 数据 报 的 类 型 。 
口 首部 校 验 和 : 一 个 错误 检测 机 制 , 用 来 确认 TP 首部 的 内 容 有 没有 被 损坏 或 者 算 改 。 
口 源 下 地 址 ， 发 出 数据 报 的 主机 的 下 地 址 。 
口 目的 下 地 址 : 数据 报 目的 地 的 卫 地 址 。 
口 选项 : 保留 作 额 外 的 王选 项 。 它 包含 着 源 站 选 路 和 时 间 戳 的 一 些 选项 。 
口 数据 : 使 用 卫 传递 的 实际 数据 。 


以 上 详细 介绍 了 下 包 首 部 格式 的 每 个 字段 。 这 里 有 两 个 概念 , 需要 在 分 析 包 之 前 了 解 
一 下 。 下 面 将 详细 介绍 。 


11.3.4 


存活 时 间 TTL 


存活 时 间 (TTL) 值 定义 了 在 该 数据 报 被 丢弃 之 前 ， 所 能 经 历 的 时 间 ， 或 者 能 够 经 过 
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的 最 大 路 由 数目 。TTL 在 数据 报 被 创建 时 就 会 被 定义 ， 而 且 通 常 在 每 次 被 发 往 一 个 路 由 器 
的 时 候 减 1。 

例如 ， 如 果 一 个 数据 报 的 存活 时 间 是 2， 那 么 当 它 到 达 第 一 个 路 由 器 的 时 候 ， 其 TTL 
会 被 减 为 1， 并 会 被 发 向 第 二 个 路 由 器 。 这 个 路 由 器 接着 会 将 TTL 减 为 0。 这 时 ， 如 果 这 
个 数据 报 的 最 终 目 的 地 不 在 这 个 网 络 中 ， 那 么 这 个 数据 报 就 会 被 丢弃 ， 如 图 11.13 所 示 。 


i > 四 


路 由 器 数据 包 

A 

| TTL3 > TTL2 > TTLI OO 
= 路 由 器 路 由 器 路 由 器 。 数据 包 


图 11.13 ”数据 报 的 TTL 在 每 经 过 一 个 路 由 器 的 时 候 都 减少 1 


图 11.13 就 是 数据 报 经 过 路 由 器 后 ，TTL 值 的 变化 。 由 于 TIL 的 值 在 技术 上 还 是 基于 
时 间 的 ， 一 个 非常 繁忙 的 路 由 器 可 能 会 将 TTL 的 值 减 去 不 止 1。 但 是 通常 情况 下 ， 还 是 可 
以 认为 一 个 路 由 器 设备 在 多 数 情况 下 只 会 将 TTL 的 值 减 去 1 。 

了 解 TTL 值 的 变化 是 非常 重要 的 。 一 般 用 户 通 常 所 关心 的 一 个 数据 报 的 生存 周期 ， 只 
是 其 从 源 前 往 目 的 地 所 花 去 的 时 间 。 但 是 考虑 到 一 个 数据 报 想 要 通过 互联 网 发 往 一 台 主机 
需要 经 过 数 十 个 路 由 器 ， 在 这 个 数据 报 的 路 径 上 ， 它 可 能 会 碰 到 被 错误 配置 的 路 由 器 ， 而 
失去 其 到 达 最 终 目的 地 的 路 径 。 在 这 种 情况 下， 这 个 路 由 器 可 能 会 做 很 多 事情 ， 其 中 一 件 
就 是 将 数据 报 发 向 一 个 网 络 ， 而 产生 一 个 死 循 环 。 如 果 出 现 死 循环 这 种 情况 ， 可 能 导致 一 
个 程序 或 者 整个 操作 系统 崩溃 。 同 样 的， 数据 报 在 网 络 上 传输 时 ， 数 据 报 可 能 会 在 路 由 器 
直接 持续 循环 ， 随 着 循环 数据 报 的 增多 ， 网 络 中 可 用 的 带宽 将 会 减少 , 直至 拒绝 服务 (DoS) 
的 情况 出 现 。IP 首部 中 的 TIL 域 ， 就 是 为 了 防止 出 现 这 种 潜在 的 问题 。 


11.3.2 IP 分 片 


数据 报 分 片 是 将 一 个 数据 流 分 为 更 小 的 片段 , 是 卫 用 于 解决 跨越 不 同类 型 网 络 时 可 靠 
传输 的 一 个 特性 。 一 个 数据 报 的 分 片 主要 是 基于 第 二 层 数据 链 路 层 所 使 用 的 最 大 传输 单元 
(Maximum Transmission Unit，MTU ) 的 大 小 ， 以 及 使 用 这 些 二 层 协议 的 设备 配置 情况 。 
在 多 数 情况 下 ， 第 二 层 所 使 用 的 数据 链 路 协议 是 以 太 网 ， 以 太 网 的 MTU 是 1500。 也 就 是 
说 ， 以 太 网 的 网 络 上 能 传输 的 最 大 数据 包 大 小 是 1500 字 节 (不 包括 14 字 节 的 以 太 网 头 
本 身 ) 。 

当 一 个 设备 准备 传输 一 个 卫 数据 报时 , 它 将 会 比较 这 个 数据 报 的 大 小 ,以 及 将 要 把 这 
个 数据 报 传送 出 去 的 网 络 接口 MTU, 用 于 决定 是 否 需 要 将 这 个 数据 报 分 片 。 如 果 数 据 报 的 
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大 小 大 于 MTU， 那么 这 个 数据 报 就 会 被 分 片 。 将 一 个 数据 报 分 片 包 括 下 列 儿 个 步骤 ， 如 下 
所 示 。 
(1) 设备 将 数据 分 为 若干 个 可 成 功 进行 传输 的 数据 包 。 
(2) 每 个 他 首部 的 总 长 度 域 会 被 设置 为 每 个 分 片 的 片段 长 度 。 
(3) 更 多 分 片 标志 将 会 在 数据 流 的 所 有 数据 包 中 设置 为 1， 除了 最 后 一 个 数据 包 。 
(4) 卫 头 中 分 片 部 分 的 分 片 偏 移 将 会 被 设置 。 
(5) 数据 包 被 发 送出 去 。 


11.4 分 析 卫 数据 包 


通过 前 面 对 卫 协议 的 详细 介绍 及 数据 包 的 捕获 ， 现 在 就 可 以 来 分 析 卫 数据 包 了 。 本 
节 将 以 前 面 捕获 的 ip.pacpng 捕获 文件 为 例 ， 来 分 析 卫 数据 包 。 


11.4.1 分 析 IP 首部 


人 - 帧 为 例 ， 介 绍 卫 数据 包 首部 ， 如 图 11.14 所 示 。 


二 
日 昌 大 央 玫 | 饭 外 尖 多 | 人 9 信 呈 卫生 | 固 国 QQQD 本 加 加 关 | 加 
Fikter: | [= Brpression. Clesr Apply Save 

[No. Time Source Destination Protocol Length Info 


Mm » 


4 
|m Frame 1: 74 bytes on wire (592 bits), 74 bytes captured (592 bits) on interface 0 

9 Ethernet II, Src: Elitegro_3f:c3:e5 (00:19:21:3f:c3:e5), Dst: Giga-Byt_eb:46:8d (50:e5:49:eb:46:8d) 
田 Internet Prorocol Version 4, Src: 192.168.5.2 (192.168.5.2), Dst: 192.168. 5.4 (192.168.5.4) | 
| Internet Control Messaqe Protocol | 
| | 
0000 50 e5 49 eb 46 8d 00 19 21 3f c3 e5 08 00 45 00 Pp.I.F. 13....€. 

0010 00 3c 05 Oe 00 00 40 01 ea 5¢c c0 a8 05 02 -i 

|0020 05 04 08 00 4d 3b 00 01 00 20 61 62 63 64 65 66 abcdef 
0030 67 68 69 6a 6b 6c 6d 6e 4 中 71 72 73 74 75 76 ohijkian o opqrstuv 
|10040 77 61 62 63 64 65 66 67 wabcdefg hi 


Packets: 16 * Displayed: 16 (100.0%) * Load time: 0:00.001 


国 醒 [Re "Hr:\traces\p.pcapng” 197..- 


图 11.14 下 首 部 分 析 


在 该 图 所 示 的 Packet Details 面板 中 ， 可 以 看 到 有 IPv4 协议 的 包 。 这 里 就 详细 介绍 该 
包 中 的 详细 信息 ， 如 下 所 示 : 

Frame 1: 74 bytes on wire (592 bits), 74 bytes captured (592 bits) on interface 0 

以 上 信息 表示 是 第 一 帧 信息 ， 其 大 小 为 74 个 字 节 。 


Ethernet II, Src: Elitegro 3f:c3:e5 (00:19:21:3f:c3:e5), Dst: Giga-Byt 
eb:46:8d (50:e5:49:eb:46:8d) 


以 上 信息 表示 是 以 太 网 帧 头 部 信息 。 其 中 ， 源 MAC 地 址 为 00:19:21:3fc3:e5， 目 标 
MAC 地 址 为 50:e5:49:eb:46:8d。 
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Internet “ Protocol Version 
L92160s 5 4 人 92268RSS 4》 


以 上 信息 表示 IPv4 包头 部 信息 。 其 中 源 他 地 二 
在 该 包 首 部 中 还 有 很 多 其 他 字段 的 信息 ， 


192.168.5 4。 
如 下 所 示 。 


Internet “ Protocol Version 
192.168.5.4 (192.168.5.4) 
Version: 4 
Header length: 20 bytes 


Differentiated Services Field: 0x00 (DSCP 0x00: Default; 


Not-ECT (Not ECN-Capable 
0000 00.. 
ee 


4 Srer 192。168,5 


We 


Transport)) 


Gapable Transport) (0x00) 


Total Length: 60 


Identification: 0x050e (1294) 


Flags: 0x00 
Oe = Reserved bit: Not set 
Os = Don't fragment: Not set 
ee = More fragments: 


Not set 


a 


止 为 192.168.5.2， 
下 面 将 介绍 该 包 中 展开 的 所 有 信息 ， 


L926 32 


(39246852J3 Dst> 


目标 JP 地址 为 


(192.168.5.2), Dst: 
# 版 本 号 
# 首 部 长 度 

ECN: 0x00: 


# 服 务 类 型 


Differentiated Services Codepoint: Default (0x00) 
Explicit Congestion Notification: 


Not-ECT (Not ECN- 


# 总 长 度 

# 标 识 符 

# 标 志 

# 保 留 位 

# 不 进行 分 片 


# 更 多 分 片 ， 这 里 的 值 为 0， 标 识 这 是 若干 数据 包 中 的 最 后 一 个 分 片 


Fragment offset: 0 
Time to live: 64 
Protocol: ICMP (1) 


Header checksum: 0xea5c [validation disabled] 


[Good: False] 

[Bad: False] 
Source: 192.168.5.2 (192 
Destination: 192.168.5.4 
[Source GeoIP: Unknown] 


下 人 | 


(192.168.5.4) 


[Destination GeoIP: Unknown] 


以 上 信息 包括 他 包 首 部 的 所 有 字 


和 ， 对 应 到 包 首 部 格式 中 ， 


# 分 段 偏 移 

# 存 活 时 间 

# 协 议 

# 首 部 校 验 和 


# 源 IP 地 址 

# 目 标 IP 地 址 
# 源 IP 地 理 位 置 
# 目 标 IP 地 理 位 置 


如 表 11-2 所 示 。 


表 11-2 IP 包 首部 格式 
JP 协议 
偏 移 位 0~3 | 4~7 8~15 16~18 19~31 

0 4 | 20 0x00 60 
32 Ox050e Ox00 0 
64 64 | IcMP() 0Oxeasc 
96 192.168.5.2 
128 192.168.5.4 
160 
160 或 192+ 

在 该 包 中 最 后 一 行 信息 如 下 : 

Internet Control Message Protocol 

表示 ICMP 协议 包 信 息 。 关 于 该 协议 的 分 析 ， 将 在 后 面 章 节 进 行 介绍 。 
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11.4.2 分析 IP 数据 包 中 TTL 的 变化 


前 面 介 绍 过 TTL 值 是 经 过 路 由 器 后 才 发 生变 化 。 也 就 是 说 在 同一 网 段 中 传输 数据 包 
时 ，TTL 值 是 不 变 的 。 只 有 与 非 同 网 段 的 主机 进行 通信 时 ， 该 数据 包 的 TTL 值 才 会 发 生变 
化 。 下 面 通过 分 析 捕获 文件 ， 来 确定 TTL 值 是 不 是 这 样 变化 的 。 


1. 分 析 同 网 段 中 数据 包 的 TTL 值 


这 里 同样 以 ip.pcapng 捕获 文件 为 例 ， 分 析 同 网 段 TTL 值 的 变化 。 在 ip.pcapng 捕获 
文件 中 ，1 一 8 帧 都 是 主机 PC1 (192.168.5.2) 和 PC2 (192.168.5.4) 之 间 的 通信 。 这 8 帧 
可 以 说 是 4 个 完整 的 数据 包 ， 也 就 是 通过 ICMP 协议 的 发 送 和 响应 包 。 这 里 以 ip.pcapng 
捕获 文件 中 的 3、4 帧 为 例 ， 分 析 这 两 个 包 中 的 TTL 值 。 其 中 ，3、4 帧 的 信息 如 图 11.15 


ip.pcapng [Wireshark 1.10.7 (v1.10.7-0-g6b931a1 from master-1.10)] el) 

He Edt Vew Go Capture Anayze Statstxs Telephony IToos Intemas Hep 

08H| 记 人 其 多 | 人 中 国定 入 QQQDI 醒 国 网 
站 epressonr- cear appy Save 

protocol Length 一 


田 Frame 3: 74 bytes on wire (592 bits), 74 bytes captured (592 bits) on interface 0 
9 Ethernet II, Src: Elitegro_3f:c3:e5 (00:19:21:3f:c3:e5), Dst: Giga-Byt_eb:46:8d (50:e5; 
田 Inrernet Protocol Version 4, Src: 192.168. 5.2 (192.168.5.2), Dst: 192.168.5.4 (192.168. 
四 Internet Control Message Protocol 
4 7 6 


0000 50 e5 49 eb 46 8d 19 21 3f c3 e5 08 00 45 00 Pp.I.F... 1?....E. 
0010 中 3c 05 Of 00 00 8 01 ea 5b c0 a8 05 02 c0 a8 
0020 05 04 08 00 4d 3a 00 01 00 21 61 62 63 64 65 66 + !abcdef 
0030 8 68 69 6a 6b 6c 6d 6e 6f 70 71 72 73 74 75 76 ghijkian Paarstuv 
0040 77 61 62 63 64 65 66 67 68 69 wabcdefg h 


| | Ready to oad or capture Packets: 16 * Displayed: 16 (100.0%) * ... | Profie: Default 


图 11.15 同 网 段 传输 的 两 个 数据 包 


该 界面 的 Packet List 面板 中 的 Info 列 可 以 看 到 ，3、4 帧 包 信 息 分 别 是 Echo (ping) 
request ed 和 Echo (ping) reply (响应 ) 。 也 就 是 说 192.168.5.2 (PC1) 发 给 192.168.5.4 
的 包 是 一 个 请 求 包 ，192.168.5.4 (PC2) 的 包 是 一 个 响应 包 。 其 中 ， 这 两 台 主机 是 在 同一 个 
网 络 中 ， 所 以 这 两 个 包 的 TTL 值 应 该 相同 。 下 面 分 别 来 看 这 两 个 包 中 IP 包 首部 的 相应 
信息 。 

第 3 帧 的 下 包 首 部 信息 如 下 : 


TInternet protocol Version J Secs 192.168-5.2 {192.16825.2) .Dsts: 
192.168.5.4 (192:168.5-4) 


Version: 4 #IP 协议 版 本 号 

Header length: 20 bytes # 首 部 长 度 
Differentiated Services Field: 0x00 (DSCP 0x00: Default; ECN: 0x00: 
Not-ECT (Not ECN-Capable Transport)) 服务 标识 符 

Total Length: 60 塌 总 长 度 
Identification: 0x050f (1295) # 标 识 符 
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Flags: 0x00 # 标 志 
人 = Reserved bit: Not set ## 保 留 位 
-0.. .... = Don't fragment: Not set # 不 进行 分 片 
--0. .... = More fragments: Not set # 更 多 分 片 
Fragment offset: 0 # 分 片 偏 移 
Time to live: 64 # 生 存 期 
Protocol: ICMP (1) # 协 议 
Header checksum: 0xea5b [validation disabled]  # 首 部 校 验 和 
Source- LO2T6SSSE2AMNUOZSLIOBSS2U # 源 IP 地 址 
Destination: 192.168.5.4 (192.168.5.4) # 目 标 IP 地 址 
[Source GeoIP: Unknown] # 源 IP 地 理 位 置 
[Destination GeoIP: Unknown] # 目 标 IP 地 理 位 置 


以 上 信息 是 第 3 帧 中 IPv4 首部 的 详细 信息 。 从 中 可 以 看 到 ， 该 包 中 的 TIL 值 是 64。 
第 4 帧 的 他 包 首部 信息 如 下 : 


Internet Protocol Version 4, Src: 192.168.5.4 (192.168.5.4), Dst: 
3 a 


Version: 4 #IP 协议 版 本 号 
Header length: 20 bytes # 首 部 长 度 
Differentiated Services Field: 0x00 (DSCP 0x00: Default; ECN: 0x00: 
Not-ECT (Not ECN-Capable Transport)) # 服 务 标识 符 
Total Length: 60 # 总 长 度 
Identification: Oxc71d (50973) # 标 识 符 
Flags: 0x00 # 标 志 

[1 = Reserved bit: Not set 间 保 留 位 

.0.. .... = Don't fragment: Not set # 不 进行 分 片 

..0. .... = More fragments: Not set # 更 多 分 片 
Fragment offset: 0 # 分 片 偏 移 
Time to live: 64 # 生 存 期 
Protocol: ICMP (1) # 协 议 


Header checksum: 0x284d [validation disabled]  # 首 部 校 验 和 
[Good: False] 


[Bad: False] 
Source: 192.168.5.4 (192.168.5-4) # 源 IP 地 址 
Destination: 192.168.5.2 (192.168.5.2) # 目 标 IP 地 址 
[Source GeoIP: Unknown] # 源 IP 地 理 位 置 
[Destination GeoIP: Unknown] # 目 标 IP 地 理 位 置 


从 以 上 信息 中 , 可 以 看 到 每 个 字段 的 信息 都 和 第 3 帧 他 包 首 部 的 信息 相同 。 这 两 个 包 
中 的 生存 期 (TTL) 没有 发 生变 化 。 这 是 因为 ， 主 机 PC1 和 PC2 在 同一 个 网 段 内 ， 它 们 之 
间 传 输 的 数据 不 需要 经 过 路 由 器 。 

2. 分 析 不 同 网 段 中 数据 包 的 TTL 值 


下 面 以 ip.pcapng 捕获 文件 为 例 ， 分 析 不 同 网 段 TTL 值 的 变化 。 在 ip.pcapng 捕获 文件 
中 ，9 一 16 帧 是 两 台 (PC1 和 PC3) 不 同 网 段 主机 之 间 通 信 的 数据 包 ， 如 图 11.16 所 示 。 

在 该 界面 显示 的 包 同 样 是 4 个 完整 的 ICMP 包 ， 一 个 是 请 求 包 ， 一 个 是 响应 包 。 这 里 
分 析 9、10 帧 中 IPv4 首部 的 详细 信息 ， 如 下 所 示 。 
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fl ippcapng [Wireshark 1107 (v1.107-0-g6b931al from master-1.10)] (= © 
Ee Edt View Go Capture Anayze Statstcs Telephony Took Intemas Hep 
四 四 看 面 区 | 语 驴 X 信 人 操守 国字 和 图 QQeQDlI 可 四 轧 关 | 号 


Fiher | Expression.. Clear Appy Save 
INo Time Source Destination Protocol Length Info < 
| 10 11.492520000 192.168.6.103 192.168.5.2 。 ICMP 74 一 到 本 ee : 
11 12.483007000 192.168.5.2 192.168.6.103 ICMP 74 Echo (ping) request id=0x0001, : 
12 12.484266000 192.168.6.103 192.168.5.2 。 ICMP 74 Echo (ping) reply id=0x0001 


13 13.483110000 192.168.5.2 192.168.6.103 ICMP 74 Echo (ping) request id-Ox0001 
14 13.484360000 192. 6.103 192.168.5.2 ICMP 74 Echo (ping) reply id-0x0001 
15 14.483213000 192.168.5.2 192.168.6.103 ICMP 74 Echo (ping) request id-0x0001, : 
16 14.484416000 192.168.6.103 192.168.5.2 。 ICNMP 74 Echo (ping) reply id-Ox0001, :~ 


3 Frame 9: 74 bytes on wire (592 bits), 74 bytes captured (592 bits) on interface 0 

四 Ethernet II，Src: Elitegro_3f:c3:e5 (00:19:21:3f:c3:e5), Dst: TendaTec_84:78:1e (cB:3a: 35 问 

四 Inrernet protocol Version 4, Src: 192.168.5.2 (192.168.5.2), Dst: 192.168.6.103 (192.168. 

5 Internet Control Message Protocol ~ 
4 加 » 

0000 c8 3a 35 84 78 le 00 19 21 3f c3 e5 08 00 45 00 

0010 00 3c 05 12 00 00 40 01 e8 f5 c0 a8 05 02 c0 a8 

lo020 06 67 08 oo 4d 37 00 01 00 24 61 62 63 64 65 66 Sabcdef 
0030 67 68 69 6a 6b 6c 6d 6e 6f 70 71 72 73 74 75 76 opijkimm oparstuv 

0040 77 61 62 63 64 65 66 67 68 69 wabcdefg hi 


I WW Ready to load or capture Packets: 16 * Dsplayed: 16 (100.0%) * Load ti... | Profie: Defauk 
站 


图 11.16 不 同 网 段 中 传输 的 数据 包 


第 9 帧 IPv4 首部 信息 如 下 : 


Internet Protocol Version 4, Src: 192.168.5.2 (192.168.5.2), Dst: 
L92.168-.6-103 (192-.168.6.103) 


Version: 4 #IP 协议 版 本 
Header length: 20 bytes # 首 部 长 度 
Differentiated Services Field: 0x00 (DSCP 0x00: Default; ECN: 0x00: 
Not-ECT (Not ECN-Capable Transport)) # 服 务 标识 符 
Total Length: 60 # 总 长 度 
Identification: 0x0512 (1298) # 标 识 符 
Flags: 0x00 # 标 志 

0... .... = Reserved bit: Not set # 保 留 位 

.0.. .... = Don't fragment: Not set # 不 进行 分 片 

..0. .... = More fragments: Not set # 更 多 分 片 
Fragment offset: 0 # 分 片 偏 移 
Time to live: 64 # 生 存 期 
Protocol: ICMP (1) # 协 议 
Header checksum: 0xe8f5 [validation disabled] # 首 部 校 验 和 


[Good: False] 
[Bad: Falsel] 


Source: 192.168.5.2 (192.16855.2) # 源 IP 地 址 
Destination: 192.168.6.103 (192.168.6.103) # 目 标 IP 地 址 
[Source GeoIP: Unknown] # 源 IP 地 理 位 置 
[Destination GeoIP: Unknown] # 目 标 IP 地 理 位 置 


以 上 包 信 息 ， 是 主机 PC1 发 送 给 PC3 的 他 包 首 部 信息 。 其 中 ，TTL 值 为 64。 
第 10 帧 IPv4 首部 信息 如 下 : 


Internet Protocol Version 4, Src: 192.168.6.103 (192.168.6.103), Dst: 
由 SEE 2 (L920 T0052 


“2 


Version: 4 #IP 协议 版 本 号 
Header length: 20 bytes # 首 部 长 度 
Differentiated Services Field: 0x00 (DSCP 0x00: Default; ECN: 0x00: 
Not-ECT (Not ECN-Capable Transport)) ## 服 务 标识 符 
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Total Length: 60 # 总 长 度 
Identification: 0xa206 (41478) # 标 识 符 
Flags: 0x00 # 标 志 

0... .... = Reserved bit: Not set 间 保 留 位 

-0.. .... = Don't fragment: Not set ## 不 进行 分 片 

:0. .... = More fragments: Not set # 更 多 分 片 
Fragment offset: 0 井 分 片 偏 移 
Time to live: 63 # 生 存 期 
Protocol: ICMP (1) 井 协 议 
Header checksum: 0x4d01 [validation disabled] 间 头 部 校 验 和 

[Good: Falsel] 

[Bad: Falsel] 
Source: 192.168.6.103 (192.168.6.103) # 源 IP 地 址 
Destination: 192.168.5.2 (192.168.5.2) # 目 标 IP 地 址 
[Source GeoIP: Unknown] # 源 IP 地 理 位 置 
[Destination GeoIP: Unknown] # 目 标 IP 地 理 位 置 


以 上 包 信 息 是 主机 PC3 发 送 给 PC1 的 他 包 首部 信息 ,从 以 上 信息 中 ,可 以 看 到 该 IPv4 


首部 中 TTL 值 为 63。 由 此 可 以 说 明 ，PC3 发 送 回 PC1 的 数据 包 经 过 了 一 个 路 由 器 。 


11.4.3 “IP 分 片 数 据 包 分 析 


下 面 以 ip-fragment.pcapng 捕获 文件 为 例 ， 详 细 分 析 卫 分 片 。 打 开 ip-fragment.pcapng 
捕获 文件 ， 显 示 界 面 如 图 11.17 所 示 。 


帮 ip-fragmentpcapng 


[Wireshark 1.10.7 (v1.10.7-0-g6b931al from master-1.10)] 


Le. © lc) 


Ee Edt Vew Go Capture Anayze Statistics Telephony Iooks Jntemak Hep 
日 日 大 到 站 | 宾 的 凌 久 | 个 外国 守业 
三 
Filter: [4| 
INo. Time Source Destination Protocol Length Info 
1 0. 000000000 192.168.5.2 192.168.5.4 IPv4 
20.000019000 192.168.5.2 192.168.5.4 IPpv4 
| 30.000026000 192.168.5.2 192.168.5.4 ICMP 
| 40.004116000 192.168.5.4 192.168.5.2 IPpv4 
| 50.005347000 192.168.5.4 192.168.5.2 Ipv4 
6 0.005411000 192.168.5.4 192.168.5.2 ICMPp 
| 7 1.001109000 着 5.2 192.168.5.4 IPpv4 
| s 1.001138000 192.168.5.4 IPpv4 
| 91.001149000 192.168.5.2 192.168.5.4 ICMP 
10 1.005195000 192.168.5.4 192.168.5.2 IPpv4 
| 111.006422000 192.168.5.4 192.168.5.2 IPv4 
0 192.168.5.4 68.5.2 ICMP 
| aan sco 3 Fr i 
© | Fe: "Z:\p-fragment.pcapng" 2... | Packets: 24 * Dispbyed: 24 (100.... | profie: Defauk 


和 QDII 机 回 罗 基 | 加 
Expression.，Clear Apply Save 


1514 Fragmented IP protocol (proto=ICMP 1, 
1514 Fragmented IP protocol (proto=ICMP 1, (| 
82 Echo (ping) request id=0x0001, seq= 


1514 Fragmented IP protocol (proto=ICMP 1, 4 
1514 Fragmented IP prorocol (proto=ICMP 1 
82 Echo (ping) reply id=0x0001，seq=1/:. 
1514 Fragmented IP protocol (proto=ICMP 1, ¢ 
1514 Fragmented IP protocol (proto=ICMP 1, ¢ 
82 Echo (ping) request id=0x0001, seq=2/' 
1514 Fragmented IP protocol (proto=ICMP 1, ¢ 
1514 Fragmented IP protocol (proto=ICMP 1, ¢ 
82 Echo (ping) reply id=0x000; 27' 


图 11.17 


在 该 捕获 文件 中 ， 也 是 捕获 了 4 个 ping 包 。1 一 6 帧 是 一 个 完整 的 ping 包 ， 其 中 1 一 3 
帧 是 ping 请 求 包 ，4 一 6 帧 是 ping 响应 包 。 也 就 是 说 ， 将 第 一 个 ping 请 求 包 ， 分 为 了 1 一 3 


ip-fragmentpcapng 捕获 文件 


个 数据 包 。 下 面 将 详细 分 析 1 一 3 帧 的 详细 信息 。 


1. 第 1 帧 数据 包 


第 1 帧 数据 包 详细 信息 如 图 11.18 所 示 。 


“汪汪 
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I ip-fagmentpcapng [Wireshark 1107 (v1.10.7-0-g6b931al from master-110)] [os 
Ele Edt Vew Go Capture Anayze Statstics Telephony Toos Intemas Hep 
RR QQQ 昌 | 入 国 加 帝 | 加 


Filter: [= | Expression.. Clear Apply Save 


Frame 1: 1514 bytes on wire (12112 bits), 1514 bytes captured (12112 bits) on interface 0 

m Ethernet II, Src: Elitegro_3f:c3:e5 (00:19:21:3f:c3:e5), Dst: Giga-Byt_eb:46:8d (50:e5:49:eb:46| 
日 Inrerner Prorocol Version 4, Src: 192.168.5.2 (192.168.5.2), Dst: 192.168.5.4 (192.168.5.4) 
Data (1480 bytes) 


TD 上 


|I© | Frame (frame), 1514 bytes Packets: 24 * Dispbyed: 24 (1... | Profie: Default 


图 11.18 第 1 帧 数据 包 


从 该 界面 的 Packet Details 面板 中 ， 可 以 看 到 有 4 行 信息 。 分 别 如 下 所 示 。 


Frame 1: 1514 bytes on wire (12112 bits)，1514 bytes captured (12112 bits) 
on interface 0 


以 上 信息 表示 第 1 帧 数据 包 的 信息 ， 其 大 小 为 1514 字 节 。 


Ethernet II， Src: Elitegro 3f:c3:e5 (00:19:21:3f:c3:e5), Dst: Giga-Byt_ 
eb:46:8d (50:e5:49:eb:46:8d) 


以 上 信息 表示 以 太 网 帧 头 部 信息 。 其 中 源 MAC 地 址 为 00:19:21:3fic3:e5， 目标 MAC 
地 址 为 50:e5:49:eb:46:8d。 

Internet Protocol Version 4, Src: 192.168.5.2 (192.168.5.2), Dst: 

L9216055 (L902. 605) 

以 上 信息 表示 IPv4 头 部 信息 。 在 该 头 部 包括 了 具体 的 详细 信息 。 展 开 该 行 信息 ， 内 容 
如 下 所 示 。 


Internet Protocol Version 4, Src: 192.168.5.2 (192.168.5.2), Dst: 
192216855:4 (T922168.5:4) 


Version: 4 #IP 协议 版 本 
Header length: 20 bytes # 首 部 长 度 
Differentiated Services Field: 0x00 (DSCP 0x00: Default; ECN: 0x00: 
Not-ECT (Not ECN-Capable Transport)) # 服 务 标识 符 
0000 00.. = Differentiated Services Codepoint: Default (0x00) 
.-...。 ..00 = Explicit Congestion Notification: Not-ECT (Not 
ECN-Capable Transport) (0x00) 
Total Length: 1500 # 总 长 度 
Identification: 0x05a3 (1443) # 标 识 符 
Flags: 0x01 (More Fragments) # 标 志 
人 Reserved bit: Not set # 保 留 位 


有 Don't fragment: Not set 


# 不 能 分 片 。 这 里 的 值 为 0， 表 示 可 以 进行 分 片 
Ee Or More fragments: Set 


# 更 多 分 片 。 这 里 的 值 为 1， 表示 还 有 分 片 的 数据 包 


Fragment offset: 0 ## 分 片 偏 移 
Time to live: 64 # 生 存 期 
Protocol: ICMP (1) # 协 议 


Header checksum: 0xc427 [validation disabled]  # 首 部 校 验 和 
[Good: Falsel] 
[Bad: False] 
SOUurces Tos ln AT921005: 2 # 源 IP 地 址 
Destination: 192.168.5.4 (192.168.5.4) # 目 标 IP 地 址 


.224 
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[Source GeoIP: Unknown] # 源 IP 地 理 位 置 

[Destination GeoIP: Unknown] # 目 标 IP 地 理 位 置 

Reassembled IPv4 in frame: 3 # 重 组 IPv4 包 
Data (1480 bytes) 坦 数据 

Data: 0800cfd0000100016162636465666768696a6b6c6d6e6f70... 

[Length: 1480] ## 长 度 为 1480 字 节 


以 上 信息 是 第 1 帧 IPv4 首部 的 详细 信息 。 从 以 上 更 多 分 片 和 分 片 偏 移 域 部 分 ,可 以 判 
定 该 数据 包 是 分 片 数 据 包 的 一 部 分 。 这 是 后 被 分 片 的 数据 包 ， 所 以 就 会 有 一 个 大 于 0 的 分 
片 偏 移 或 者 就 是 设 定 了 更 多 标志 位 。 从 以 上 信息 ， 可 以 看 到 更 多 分 片 标志 位 被 设 定 ， 也 就 
是 接收 设备 应 该 等 待 接收 序列 中 的 另 一 个 数据 包 。 分 片 偏 移 为 0， 表 示 这 个 数据 包 是 这 一 
系列 分 片 中 的 第 一 个 包 。 所 以 ， 后 面 至 少 还 有 一 个 包 。 接 下 来 看 第 2 帧 包 信息 。 以 上 信息 
对 应 到 IPv4 首部 格式 中 ， 显 示 结 果 如 表 11-3 所 示 。 


表 11-3 第 1 帧 IP 分 片 格式 


192.168.5.2 
192.168.5.4 


160 或 192+ 


2. 第 2 帧 数据 包 
第 2 帧 数据 包 详细 信息 如 图 11.19 所 示 。 
ip-fragment pcapng [Wireshark 1107 (v1107-0-g6b931al frommaster110] [= 


Ee Edt Yew Go Capture Anahze Ststcs Telephony Ioos Intemas Hep 

人 全 厦 是 厦 | 斩 四 其 人 | 六 9 省 四 于 业 | 国 加 QQQDI 醒 加 罗 基 | 加 
Fiker: [= | Expression. Clesr Apply Save 

INo, Time Source Destination epee we 


9 Frame 2: 1514 bytes on wire (12112 bits), 1514 bytes captured (12112 bits) on interface 0 

s Ethernet II, src: Elitregro_3f:c3:e5 (00:19:21:3f:c3:e5), Dst: Giga-Byt_eb:46:8d (50:e5:49:eb:46| 
四 Internet protocol Version 4, Src: 192.168.5.2 (192.168.5.2), Dst: 192.168.5.4 (192.168.5.4) 

四 Data (1480 bytes) 


器 
© | Fame (fame), 1514 bytes Packets: 24 ° Dsplayed: 24 (1... | Profile: Defauk 


图 11.19 第 2 帧 数据 包 
从 Wireshark 的 Packet Details 面板 中 ， 可 以 看 到 有 4 行 详细 信息 。 而 且 包 大 小 和 第 一 
个 数据 包 的 大 小 相同 。 下 面 将 分 析 该 包 的 详细 信息 ， 如 下 所 示 。 


Frame 2: 1514 bytes on wire (12112 bits), 1514 bytes captured (12112 bits) 
on interface 0 


以 上 信息 表示 ， 这 是 第 2 帧 的 详细 信息 。 其 中 ， 该 包 的 大 小 为 1514 个 字 节 。 


Ethernet I 了 ei Elitegro 3f:c3:e5 (O09rZ1 SEC Go Dst: 
Giga-Byt eb:46:8d (50:e5:49:eb:46:8d) 


ss 
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以 上 信息 表示 以 太 网 帧 头 部 信息 。 其 中 , 源 MAC 地 址 为 00:19:21:3fc3:e5， 目 标 MAC 


地 址 为 50:e5:49:eb:46:8d。 


Internet “ Protocol Version 4, Src: 


19261685 .40 (L925 106005: 4) 


以 上 信息 表示 IPv4 首部 的 详细 信息 。 下面 将 详细 分 析 该 


ps 4 


WP Sl Dt 


玄 包 中 每 个 字段 的 值 , 如 下 所 示 。 


Internet “ Protocol Version 4， Src: 192.168.5.2 (192.168.5.2), Dst: 
192-.1600 5 4 (L921605.4) 
Version: 4 #IP 协议 版 本 
Header length: 20 bytes # 首 部 长 度 
Differentiated Services Field: 0x00 (DSCP 0x00: Default; ECN: 0x00: 
Not-ECT (Not ECN-Capable Transport)) 
# 服 务 标识 符 
0000 00.. = Differentiated Services Codepoint: Default (0x00) 
..00 = Explicit Congestion Notification: Not-ECT (Not ECN- 
Capable Transport) (0x00) 
Total Length: 1500 # 总 长 度 为 1500 
Identification: 0x05a3 (1443) # 标 识 符 
Flags: 0x01 (More Fragments) # 标 志 
0... .... = Reserved bit: Not set # 保 留 位 
:0 se = Don't fragment: Not set # 不 能 分 片 
Se = More fragments: Set # 更 多 分 片 
Fragment i 1480 # 分 片 偏 移 
Time to live: 64 # 生 存 期 
Protocol: ICMP (1) # 协 议 
Header checksum: 0xc36e [validation disabled]  # 首 部 校 验 和 
[Good: False] 
[Bad: False] 
Source: 192.168.5.2 (192.168.5.2) # 源 IP 地 址 
Destination: 192.168.5.4 (192.168.5.4) # 目 标 IP 地 址 
[Source GeoIP: Unknown] # 源 IP 地 理 位 置 
[Destination GeoIP: Unknown] # 目 标 IP 地 理 位 置 
Reassembled IPv4 in frame: 3 # 重 组 ITPv4 包 
Data (1480 bytes) # 数 据 


Data: 
[Length: 1480] 


6162636465666768696a6b6c6d6e6f707172737475767761... 


# 数 据 长 度 为 1480 字 节 


根据 以 上 信息 介绍 ， 可 以 看 到 在 该 包 的 IPv4 首部 也 设 定 了 更 多 分 片 的 标志 位 。 而 上 可 
以 看 到 ， 这 里 的 分 片 偏 移 值 为 1480。 该 值 是 由 最 大 传输 单元 (MITU) 1500， 减 去 卫 首部 
显示 信息 如 表 11-4 所 示 。 


的 20 个 字 节 得 到 的 。 以 上 信息 对 应 到 IPv4 首部 格式 中 ， 


表 11-4 第 2 帧 IP 分 片 格式 
IP 协议 


192.168.5.2 
192.168.5.4 


160 
160 或 192+ 


1480 


“26° 
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3. 第 3 帧 数据 包 
第 3 帧 数据 包 详细 信息 如 图 11.20 所 示 。 
Ml ip-fragment pcapng [Wireshark 1107 (v1.10.7-0-g6b931a1 from master-1.10)] | [=19 


Ele Edt Vew Go Capture Anayze Sratstcs Telephony Toos iIntemas Hep 

oO 和 和 和 | 白白 区 多 | 分 名 卫生 | 瑟 国 AaQQDI 田 上 关 | 加 
加 epression- Cesr Apply Save 

Protocol Length Info 
Tcw 82 Ec 


3 Frame 3: 82 bytes on wire (656 bits), 82 bytes captured (656 bits) on interface 0 

3 Ethernet II, Src: E1iregro_3f:c3:e5 (00:19:21:3f:c3:e5), Dst: Giga-Byt_eb:46:8d (50:e5:49:eb:4 
3 Inrerner protocol Version 4, src: 192.168.5.2 (192.168.5.2), Dst: 192.168.5.4 (192.168.5.4) 

3 Inrerner Control Message prorocol 


© Fle: "Z:\p-fragment.pcapng" 2... | Packets: 24 * Dspbyed: 24 (... | Profie: Defaukt 


图 11.20 第 3 帧 数据 包 


从 Wireshark 的 Packet Details 面板 中 可 以 看 到 ， 该 包 中 显示 了 4 行 信息 ， 并 且 该 包 的 
协议 为 ICMP。 下 面 将 详细 分 析 该 包 中 的 信息 。 

Frame 3: 82 bytes on wire (656 bits), 82 bytes captured (656 bits) on interface 0 

以 上 信息 表示 这 是 第 3 帧 的 详细 信息 ， 其 中 包 大 小 为 82 个 字 节 。 


Ethernet 下 下 SEC Elitegro 3f:c3:e5 (OO0L9:21 E05 Dst: 
Giga-Byt eb:46:8d (50:e5:49:eb:46:8d) 


以 上 信息 表示 以 太 网 帧 头 部 的 详细 信息 。 其 中 ， 源 MAC 地 址 为 00:19:21:3fc3:eS， 目 
标 MAC 地 址 为 50:e5:49:eb:46:8d。 


Internet “ “Protocol Version 4, Src: 192.168.5.2 (192.168.5.2), Dst: 
pl A 


以 上 信息 表示 IPv4 首部 信息 ， 这 里 着 重 分 析 该 部 分 的 详细 信息 ， 如 下 所 示 。 


Internet Protocol Version 4, Src: 192.168.5.2 (192.168.5.2); Dst: 
L92605 4 (LI E0054 


Version: 4 #IP 协议 版 本 
Header length: 20 bytes # 首 部 长 度 
Differentiated Services Field: 0x00 (DSCP 0x00: Default; ECN: 0x00: 
Not-ECT (Not ECN-Capable Transport)) # 服 务 标识 符 


0000 00.. = Differentiated Services Codepoint: Default (0x00) 
.... ..00 = Explicit Congestion Notification: Not-ECT (Not ECN- 
Capable Transport) (0x00) 


Total Length: 68 # 总 长 度 
Identification: 0x05a3 (1443) # 标 识 符 
Flags: 0x00 标志 
Des se = Roeserved bit MoOt set # 保 留 位 
-0.. .... = Don't fragment: Not set # 不 能 分 片 
..0. .... = More fragments: Not set 更 多 分 片 
Fragment offset: 2960 ## 分 片 偏 移 
Time to live: 64 # 生 存 期 
Protocol: ICMP (1) # 协 议 
Header checksum: 0xe84d [validation disabled] # 首 部 校 验 


[Good: Falsel] 


rs 
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包 是 


[Bad: Falsel] 


SOUrcCeor 192 T6052 192 060905 52) # 源 IP 地 址 
Destination: 192.168.5.4 (192.168.5.4) # 目 标 IP 地 址 
[Source GeoIP: Unknown] # 源 IP 地 理 位 置 
[Destination GeoIP: Unknown] # 目 标 IP 地 理 位 置 


[3 IPv4 Fragments (3008 bytes): #1(1480), #2(1480), #3(48)] 
#3 个 IPv4 分 片 ， 共 3008 个 字 节 
[Frame: 1, payload: 0-1479 (1480 bytes)] # 第 1 帧 加 载 了 1480 个 字 节 
[Frame: 2，payload: 1480-2959 (1480 bytes) ] # 第 2 帧 加 载 了 1480 个 字 节 
[Frame: 3，Ppayload: 2960-3007 (48 bytes)]  # 第 3 帧 加 载 了 48 个 字 节 


[Fragment count: 3] 间 分 片 数 为 3 
[Reassembled IPv4 length: 3008] # 重 组 IPv4 长 度 为 3008 
[Reassembled IPv4 data: 0800cfd0000100016162636465666768696a6b6c6d 
6e6f70...] 

# 重 组 IPv4 数据 


根据 以 上 信息 的 描述 ， 可 以 看 到 该 数据 包 没 有 设 定 更 多 分 片 标志 位 ， 也 就 表示 该 数据 


个 数据 流 中 的 最 后 一 个 分 片 。 并 且 其 分 片 偏 移 设 定 为 2960， 是 由 1480+(1500-20) 


得 出 的 结果 。 这 些 分 片 可 以 被 认为 是 同一 个 数据 序列 的 一 部 分 ， 因为 它们 TP 首部 中 的 标志 
位 拥有 相同 的 值 。 以 上 信息 对 应 到 IP 首部 格式 中 ， 如 表 11-5 所 示 。 


表 11-5 第 3 帧 IP 分 片 格式 


96 192.168.5.2 
128 192.168.5.4 
160 

160 或 192+ 


“Rs 


在 该 包 中 最 后 一 行 信息 如 下 : 
Internet Control Message Protocol 


以 上 信息 表示 ICMP 协议 包 信息 。 
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UDP 是 User Datagram Protocol (用 户 数据 报 协议 ) 的 简称 。 它 是 OSI 七 层 模型 中 一 种 
无 连接 的 传输 层 协议 ,提供 面向 事务 的 简单 的 不 可 靠 信 息 传送 服务 。 本 章 将 介绍 UDP 协议 
抓 包 分 析 。 


12.1 UDP 协议 概述 


UDP 协议 是 一 种 无 连接 的 协议 。 该 协议 工作 在 OSI 模型 中 第 四 层 〈 传 输 层 ) ， 处 于 人 P 
协议 的 上 一 层 。 传 输 层 的 功能 就 是 建立 “端口 到 端口 ” 的 通信 。 本 节 将 介绍 UDP 协议 概述 。 


12.1.1 什么 是 UDP 协议 


UDP 协议 就 是 一 种 无 连接 的 协议 。 该 协议 用 来 支撑 那些 需要 在 计算 机 之 间 传输 数据 的 
网 络 应 用 ， 包 括 网 络 视频 会 议 系统 在 内 的 众多 客户 /服务 器 模式 的 网 络 应 用 。 

UDP 协议 的 主要 作用 就 是 将 网 络 数据 流量 压缩 成 数据 包 的 形式 。 一 个 典型 的 数据 包 就 
是 一 个 二 进 制 数据 的 传输 单位 。 每 一 个 数据 包 的 前 8 字 节 用 来 包含 包头 信息 ， 剩 余 字 节 则 
用 来 包含 具体 的 传输 数据 。 


12.1.2 UDP 协议 的 特点 


UDP 使 用 底层 的 互联 网 协议 来 传送 报 文 ， 同 IP 一 样 提供 不 可 靠 的 无 连接 传输 服务 。 
它 也 不 提供 报 文 到 达 确 认 、 排 序 及 流量 控制 等 功能 。 下 面 详细 介绍 UDP 协议 的 特点 ， 如 下 
所 示 。 

(1) UDP 是 一 个 无 连接 协议 ， 也 就 是 传输 数据 之 前 源 端口 和 目标 端口 不 能 建立 连接 。 
当 它 想 传输 时 ， 就 简单 地 去 抓 取 来 自 应 用 程序 的 数据 ， 并 尽 可 能 快 地 把 它 扔 到 网 络 上 。 在 
发 送 端 ，UDP 传输 数据 的 速度 仅仅 是 受 应 用 程序 生成 数据 的 速度 、 计 算 机 的 能 力 和 传输 带 
宽 限 制 。 在 接收 端 , UDP 把 每 个 消息 段 放 在 队列 中 , 应 用 程序 每 次 从 队列 中 读 一 个 消息 段 。 

(2) 由 于 传输 数据 不 建立 连接 ， 因 此 也 就 不 需要 维护 连接 状态 。 因 此 ， 一 台 服 务 器 可 
同时 向 多 个 客户 机 传输 相同 的 消息 。 

(3) UDP 信息 包 的 标题 很 短 ， 只 有 8 个 字 节 ， 相 对 于 TCP 的 20 个 字 节 信息 包 的 额外 
开销 很 小 。 

(4) 吞吐 量 不 受 拥 挤 控制 算法 的 调节 ， 只 受 应 用 软件 生成 数据 的 速率 、 传 输 带 宽 、 演 
端 和 目标 端 主机 性 能 的 限制 。 
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(5) UDP 使 用 尽 最 大 努力 交付 ， 即 不 保证 可 靠 交 付 ， 因 此 主机 不 需要 维持 复杂 的 链接 

(6) UDP 是 面向 报 文 的 。 发 送 方 的 UDP 对 应 用 程序 传输 下 来 的 报 文 ， 添 加 首部 后 就 
向 下 传送 给 卫 层 。 既 不 拆 分 ， 也 不 合并 ， 而 是 保留 这 些 报 文 的 边界 。 因 此 ， 应 用 程序 需要 
选择 合适 的 报 文大 小 。 
虽然 UDP 是 一 个 不 可 靠 的 协议 ， 但 它 是 分 发 信息 的 一 个 理想 协议 。 例 如 ， 在 屏幕 上 
报告 股票 市 场 、 在 屏幕 上 显示 航空 信息 等 等 。UDP 也 用 在 路 由 信息 协议 RIP (Routing 
Information Protocol) 中 修改 路 由 表 。 在 这 些 应 用 场合 下 ， 如 果 有 一 个 消息 丢失 ,在 儿 秒 之 
后 另 一 个 新 的 消息 就 会 蔡 换 它 。UDP 广泛 用 在 多 媒体 应 用 中 ， 例 如 ，Progressive Networks 
公司 开发 的 RealAudio 软件 ， 它 是 在 因特网 上 把 预先 录制 的 或 者 现场 音乐 实时 传送 给 客户 
机 的 一 种 软件 。 该 软件 使 用 的 RealAudio audio-on-demand protocol 协议 就 是 运行 在 UDP 之 
上 的 协议 。 大 多 数 因特网 电话 软件 产品 也 都 运行 在 UDP 之 上 ， 如 QQ 聊天 、 视 频 、 网 络 电 
话 、 迅 雷 等 。 


12.2 ”捕获 UDP 数据 包 


在 Wireshark 中 ， 提 供 了 捕获 UDP 数据 包 的 过 滤器 。 用 户 
可 以 直接 使 用 udp 过 滤器 ， 来 捕获 UDP 数据 包 ， 而 不 需要 从 一 
个 数据 包 比 较 复 杂 的 捕获 文件 中 过 滤 UDP 数据 包 。 本 节 将 介绍 
使 用 Wireshark 捕获 UDP 数据 包 。 本 例 中 的 配置 环境 如 图 12.1 
所 示 。 

从 该 图 中 ， 可 以 看 到 这 里 使 用 了 一 个 非常 简单 的 网 络 环境 。 
环境 配置 完 后 ， 就 可 以 开始 捕获 数据 包 了 。 捕 获 UDP 数据 包 的 
具体 操作 步骤 如 下 所 示 。 


(1) 启动 Wireshark 工具 ， 显 示 界 面 如 图 12.2 所 示 。 图 12.1 Wireshark 捕获 位 置 
Ml The Wireshark Networ Analyzer [Wireshark 1.10.7 (v1.10.7-0-g6b931a1 from master-110)] ey > 


Ele Edt Vew Go Qopture Anayze Statstics Teleohony IToos Intemas Hep 
回 @ A 白人 其 名人 9 中 力 村 和 入 担 色 国 | 芒 因 昌 关 | 加 


Fher =] Expreccion.. Clear Apply Save 
i The World's Most Popular Network Protocol Analyzer 
Version 1.10.7 (v1.10.7- 31al fr 
[Fe | | 
Interface List 启 open 全 websi = 
Live ie of the captus rterfaces Open ayeveuay cptured fe Vathe pr 
(Courts reomre pokee) 
Open Recent: PE 
Pl Start CNWresharkll111.pcapng (2468 kB) 到 The Uer' 
Co ere er on rite pt on ben et wreshariadhcp.paapng (1718) | 
| 4 法 按 = Se 
| 吧 本 @ Sample captures 外 
EH VMware Network Adapter VMnetl | i 


EN VMware Network Adanter VMneta 


© Capture Options 


Seart a capture wth detaied cpkors 


Ready to oad or capture No Packets Profle: Defauk 


图 12.2 ”Wireshark 启动 界面 


ws 
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(2) 在 该 界面 的 菜单 栏 中 依次 选择 Capture|Options 命令 ， 或 者 单 击 工具 栏 中 的 图 ( 显 
示 捕 获 选项 ) 图 标 打 开 Wireshark 捕获 选项 窗口 ， 如 图 12.3 所 示 。 


Uinklayer headerProm. Mode Snaplen [8] Buffer [MiB] Capture Fiter ~ 


Ethernet ‘enabled default 


园 Use promiscuous mode on all interfaces 
Eee Eee 
Capture Fles Display Options 

Fie: (CAWireshark\udp.pcapng Browse-. 园 Update list of packets in real time 


© Use multiple fles 园 Use pcap-ng format 


7] Next file every 


Automatically scroll during live capture 
3 |megabyte(s) 


Next file every 习 |minute(s) 


1 
1 

Ring buffer with |2 ED fies 
1 


Stop capture after 月 fe(9) 
Stop Capture Automaticaly After… 
1 -packet(s) 


1 日 Imegabyte(s) | ~ 


四 |1 昌 |minute() 


(Cuep | 


12.3 设置 捕获 选项 


(3) 在 该 界面 选择 捕获 接口 , 设置 捕获 过 滤器 及 捕获 文件 的 保存 位 置 , 如 图 12.3 所 示 。 
以 上 信息 配置 完 后 ， 单 击 Start 按钮 ， 将 显示 如 图 12.4 所 示 的 界面 。 


-一 一 一 
全 夯 厦 硬 贡 | 四 四 X 亿 | 扩 9 吕 四 于 业 | 四 加 QDII 贡 加 昂 其 | 世 
上 eg 


图 12.4 开始 捕获 UDP 数据 包 


(4) 在 该 界面 可 以 看 到 ， 当 前 没有 捕获 到 任何 的 数据 包 。 这 是 因为 在 系统 中 没有 运行 
UDP 协议 的 相关 程序 。 由 于 这 里 使 用 了 udp 捕获 过 滤器 ， 所 以 就 算 有 其 他 协议 的 程序 运行 
也 捕获 不 到 。 这 时 候 ， 就 需要 手动 地 运行 一 些 UDP 协议 程序 ， 如 QQ。 

如 果 当 前 系统 中 安装 了 QQ 应 用 程序 ， 这 时 候 用 户 只 需要 简单 地 登录 一 下 ， 将 会 捕获 


sas 
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到 大 量 的 UDP 数据 包 ， 如 图 12.5 所 示 。 


必 udp pcapng [wiresharc1107 (vL107-0-g6b93lal frommasterlI 
Ele Edt Vew Go Capture Anahze Statstics Telephony Toos Intemas Hep 
日 加 着 硬 近 | 巴 牟 人 | 以 9 中国 于 乏 @QQI 醒 回电 > 


Fer [=)] Epression.. cear Apply sae 
INo. Time Source Destination Protocol Length info -| 


EER 
|| 105 36. 340713000 192.168.5.2 112.95-240.181UDP 197 Source port: pxc-spIr-ft™ De 


110 36. 379443000 111.161.52.200 161 Source port: irdmi Destinat 
111 36.401333000 112.95.241.9 161 Source port: irdmi Destinat 
112 36.401338000 112.95.240.181 161 Source port: irdmi Destinat 
113 36.404262000 112.95.242.118 161 Source port: irdmi Destinat 
114 36.409151000 111.161.88.40 801 Source port: irdmi Destinat 
115 36.814493000 192.168.5.2 647 Source port: chimera-hwm De 
116 36.846693000 111.161.88.40 192.168.5.2 ”UDP 537 Source port: irdmi Destinat 
117 37.166411000 192.168.5.2 111.161.88.40 OICQ 81 OICQ Prorocol 

118 37.166695000 192.168. 5.2 111.161.88.40 OICQ 81 OICQ Protocol 

119 37.166883000 192.168.5.2 97 Source port: chimera-hwm De - 

con 


Se an wes ober dee an 


图 12.5 捕获 到 的 UDP 数据 包 


从 Wireshark 的 Packet List 面板 中 的 Protocol 列 ， 可 以 看 到 显示 了 大 量 UDP 协议 数据 
包 。 其 中 ，OICQ 协议 表示 是 运行 的 QQ 程序 。 
当 用 户 想 要 分 析 QQ 程序 相关 的 数据 包 时 , 可 以 使 用 oicq 显示 过 滤器 过 滤 所 有 的 OICQ 
数据 包 ， 如 图 12.6 所 示 。 
udppcapng Wireshark 1107 wl107-0-96b93lal fom masterll10l lh 


Ele Edt Vew Go Capture Anayze Sratstkcs Telephony Iooks jntemas Hep 
介 委 二 攻 | 白 人 其 多 | 人 A 外 加 了 主因 国 aaa 吕 


118 37.166695000 192.168.5.2 111.161. 88.40 OICQ 81 OICQ Protoco 
122 37.193408000 111.161.88.40 192.168.5.2 orcQ 137 OICQ Protocol 
124 37.199689000 111.161.88.40 192.168.5.2 orIcQ 209 OICQ Protocol 
133 37.307552000 192.168.5.2 111.161. 88.40 OICQ 89 OICQ protocol1 
141 37.467915000 192.168. 5.2 111.161. 88.40 OICQ 81 OICQ Protocol 
142 37.468068000 192.168.5.2 111.161. 88.40 OICQ 81 OICQ Protocol 
143 37.468212000 192.168.5.2 111.161. 88.40 OICQ 81 OICQ Protocol 
144 37.468354000 192.168.5.2 111.161.88.40 OICQ 81 OICQ Protocol 
145 37.468517000 192.168.5.2 111.161.88.40 OICQ 105 OICQ Protocol 
146 37.469765000 192.168.5.2 111.161. 88.40 OICQ 89 OICQ Protocol 
148 37.470281000 192.168. 5.2 111.161. 88.40 OICQ 81 OICQ Protocol 

4 mn eo ey nr nes ne rene 


.| Packets: 518 * Deplayed: 79 (15.3... | Profie: Defauk 


图 12.6 OICQ 数据 包 


从 Wireshark 的 状态 栏 中 , 可 以 看 到 有 79 个 包 匹 配 oicq 显示 过 滤器 。 通 过 查看 这 些 包 
的 详细 信息 ， 可 以 看 到 所 登录 的 QQ 号 码 。 关 于 QQ 程序 的 分 析 ， 在 后 面 章节 将 会 进行 
介绍 。 


12.3 分析 UDP 数据 包 


前 面 对 UDP 协议 进行 了 简单 介绍 ， 并 且 使 用 udp 过 滤器 捕获 了 UDP 数据 包 。 本 节 将 


ws 
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以 前 面 捕获 的 udp.pcapng 捕获 文件 为 例 ， 分 析 UDP 数据 包 。 


12.3.1 UDP 首部 格式 


UDP 数据 报 也 是 由 首部 和 数据 两 部 分 组 成 。 在 首部 定义 了 发 出 端口 和 接收 端口 ， 数 据 
部 分 就 是 具体 的 内 容 。 其 中 ，UDP 数据 报 首部 部 分 共有 8 个 字 节 ， 总 长 度 不 超过 65535 字 
节 ， 正 好 可 以 放 入 一 个 下 数据 报 。 为 了 使 用 户 对 UDP 数据 报 有 一 个 更 清晰 的 认识 ， 下 面 
将 介绍 UDP 首部 格式 ， 如 表 12-1 所 示 。 


表 12-1 UDP 首部 格式 
用 户 数据 包 协议 


数据 (如 果 有 ) 


在 表 12-1 中 ，UDP 首部 每 个 字段 的 含义 如 下 所 示 。 

口 源 端 口 ， 用 来 传输 数据 包 的 端口 。 

口 目标 端口 数据 报 将 要 被 传输 到 的 端口 。 

口 数据 报 长 度 : 数据 报 的 字 节 长 度 。 

口 校 验 和 : 用 来 确保 UDP 首部 和 数据 到 达 时 的 完整 性 。 

口 数据 : 被 UDP 封装 进去 的 数据 ， 包 含 应 用 层 协议 头 部 和 用 户 发 出 的 数据 。 


12.3.2 ”分析 UDP 数据 包 


下 面 以 udp.pcapng 捕获 文件 为 例 ， 分 析 UDP 数据 包 。 打 开 udp.pcapng 捕获 文件 ， 如 
图 12.7 所 示 。 
udp.pcapng [wireshark 1.107 (v1.107-0-g6b931a1 from master-1.10)] [yy 


Fle Edt Vew Go Capture Anayze Statstics Telephony Tooks Intemas Hep 
四 @@ 厦 硬 近 | 饭 四 其 凶 | 以 9 和 四 守业 | 辐 加 QQDl 可 加 昌 » 


Filter: [=] bpression- Clear Apply Save 
No. Time Source Destination Protocol Length Info a 
1 0.000000000 192.168.5.2 192.168.5.1 DNS 70 standard query Ox01a3 A 2z™ 
2 0.022700000 192.168.5.1 192.168.5.2 DNS 134 Standard query response Ox 
3 0.117601000 192.168.5.2 112.90.142.8 UDP 113 source port: 56429 Destin 
4 0.130672000 192.168.5.2 58.251.148.134UDP 113 Source port: 56430 Destin | 
5 0.167100000 112.90.142.8 192.168. 5.2 UDP 144 source port: irdmi Destin 
60.178830000 58.251.148.134 192.168.5.2 UDP 144 Source port: irdmi Destin 
7 1.362512000 192.168.5.2 112.90.142.8 UDP 165 Source port: 56429 Destin 
8 1.412324000 112.90.142.8 192.168.5.2 ”UDP 149 Source port: irdmi Destin 
91.452038000 192.168.5.2 112.90.142.8 UDP 133 Source port: 56429 Destin 
10 1.501373000 112.90.142.8 192.168.5.2 UDP 253 Source port: irdmi Destin 
。 .5.2 112.90.142.8 UDP 149 source port: 56429 Destin 
42.8 


UDP 365 Source port: 56429 Destin _ 
smn OTD TO 


» 


|© | Fie: "Z:\vdp.pcapng" 0 bytes 0... | Packets: 518 * Displayed: 518 (100.0%) * Load... | Profile: Defaukt 
LU ee i 


12.7 ”udp.pcapng 捕获 文件 
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这 里 选择 分 析 udp.pcapng 捕获 文件 的 第 3 帧 ， 其 详细 信息 如 图 12.8 所 示 。 


A udp pcapng [wireshark 1107 (v1.107-0-96b931a1 from master-1.10)] [一 X 一 | 
Ble Edt View Go Capture Anayze Statistics Telephony IToos Jntemaks Hep 
四 加 看 量 近 | 马 外 X 志 以 提 中 鸣 字 生 四 已 和 加 | 醒 国 轴 > 


[= | expression. Clear Apply Save 


田 Frame 3: 113 bytes on wire (904 bits), 113 bytes captured (904 bits) on interface 0 | 
Ethernet II, Src: Elitegro_3f:c3:e5 (00:19:21:3f:c3:e5), Dst: TendaTec_84:78:1e (c8:3a:3:| 
四 Internet Protocol Version 4, Src: 192.168.5.2 (192.168.5.2), Dst: 112.90.142.8 (112.90.14| 
困 User Datagram Protocol, Src Port: 56429 (56429), Dst Port: irdmi (8000) 

田 Data (71 bytes) 


m 上 


© WH| User Datagram protocol (udp), … | Packets: 518 * Displayed: 518 (100.0%) * Load ti... | profie: Defauk 


图 12.8 第 3 帧 包 详细 信息 


从 Wireshark 的 Packet Details 面板 中 ， 可 以 看 到 共有 5 行 详细 信息 。 其 中 ， 第 4 行 信 


息 是 UDP 协议 的 详细 信息 。 下 面 依次 介绍 Packet Details 面板 中 的 详细 信息 。 


Frame 3: 113 bytes on wire (904 bits)，113 bytes captured (904 bits) on 
interface 0 


以 上 信息 表示 这 是 第 3 帧 的 详细 信息 ， 其 中 包 大 小 为 113 个 字 节 。 


Ethernet II, Src: Elitegro 3f:c3:e5 (00:19:21:3f:c3:e5), Dst: TendaTec 
84:78:le (c8:3a:35:84:78:1e) 


以 上 信息 是 以 太 网 帧 首部 的 详细 信息 。 其 中 ， 源 MAC 地 址 为 00:19:21:3fc3:e5， 目 标 


MAC 地 址 为 c8:3a:35:84:78:le。 


Internet Protocol Version 4, Src: 192.168.5.2 (192.168.5.2), Dst: 
T125900142-8, (i12905142.8) 


以 上 信息 是 IPv4 首部 信息 。 其 中 源 下 地址 为 192.168.5.2, 目 标 下 地 址 为 112.90.142.8. 


User Datagram Protocol, Src Port: 56429 (56429), Dst Port: irdmi (8000) 


以 上 信息 表示 传输 层 的 数据 报 首部 信息 , 此 处 是 UDP 协议 。 其 中 , 源 端口 号 为 56429， 


目标 端口 号 为 8000。 该 行 信息 ， 就 是 本 章 介绍 的 UDP 协议 包 详 细 人 信息。 下面 对 该 部 分 内 
容 展 开 介 绍 ， 如 下 所 示 。 


User Datagram Protocol, Src Port: 56429 (56429), Dst Port: irdmi (8000) 


Source port: 56429 (56429) # 源 端口 
Destination port: irdmi (8000) # 目 标 端口 
Length: 79 ## 数 据 报 长 度 
Checksum: 0xc5bl [validation disabled] # 校 验 和 


[Good Checksum: False] 
[Bad Checksum: False] 


以 上 信息 就 是 UDP 首部 中 对 应 的 每 个 字段 。 最 后 一 行 信息 是 应 用 层 数据 报 大 小 ， 如 


下 所 示 。 


.234 


第 12 章 UDP 协议 抓 包 分 析 


Data (71 bytes) # 数 据 包 
Data: 3e004702030801000001001ad8000014862cclcdcc22c176... 
[Length: 71] # 数 据 长 度 为 71 个 字 节 


该 行 信息 就 是 被 UDP 封装 进去 的 数据 ， 其 大 小 为 71 个 字 节 。 
将 UDP 协议 首部 的 数据 包 详细 信息 对 应 到 UDP 首部 格式 中 ， 结 果 如 表 12-2 所 示 。 


表 12-2 UDP 首 部 格式 


用 户 数 据 报 协 议 
偏 移 位 | o~15 | 16~31 
0 | 56429 | sooo 
32 | ?9 | oxcsbl 
64+ (71 bytes) 


和 
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TCP 〈Transmission Control Protocol， 传 输 控 制 协议 ) 是 一 种 面向 连接 的 、 可 靠 的 、 基 
于 IP 的 传输 层 协 议 。 它 的 主要 目的 是 为 数据 提供 可 靠 的 端 到 端 传输 。 TCP 在 RFC793 中 定 
义 ， 在 OSI 模型 中 的 第 四 层 工作 。 它 能 够 处 理 数据 的 顺序 和 错误 恢复 ， 并 且 最 终 保证 数据 
E 够 到 达 其 应 到 达 的 地 方 。 但是， 该 协议 的 过 程 比较 复杂 。 所 以 ， 本 章 将 详细 介绍 TCP 协 
议 抓 包 分 析 。 


13.1 TCP 协议 概述 


TCP 是 面向 连接 的 通信 协议 。 在 通信 过 程 中 ， 通 过 三 次 握手 建立 连接 。 通 信 结 束 后 ， 
还 需要 断 开 连 接 。 如 果 在 发 送 数据 包 时 ,没有 被 正确 发 送 到 目的 地 ， 将 会 重新 发 送 数据 包 。 
本 节 将 详细 介绍 TCP 协议 概述 。 


13.1.1 TCP 协议 的 由 来 


上 一 章 详细 介绍 了 UDP 协议 ， 可 以 知道 该 协议 使 用 非常 简单 ， 而 且 容 易 实现 。 但 是 
其 可 靠 性 较 差 ， 一 旦 将 数据 包 发 出 ， 将 无 法 知道 对 方 是 否 收 到 。 为 了 解决 这 个 问题 ，TCP 
协议 就 诞生 了 。 使 用 TCP 协议 ， 可 以 提供 网 络 的 安全 性 。 因 为 使 用 TCP 协议 传输 数据 时 ， 
每 发 出 一 个 数据 包 都 要 求 确认 。 如 果 有 一 个 数据 包 丢 失 ， 就 收 不 到 确认 包 ， 发 送 方 就 知道 
应 该 重 发 这 个 数据 包 。 这 样 ，TCP 协议 就 保证 了 数据 的 安全 性 。 


13.1.2 TCP 端口 


TCP 端口 就 是 为 TCP 协议 通信 提供 服务 的 端口 。 所 有 TCP 通信 都 会 使 用 源 端 口 和 目 
的 端口 ， 而 这 些 可 以 在 每 个 TCP 头 中 找到 。 端 口 就 像 是 老式 电话 机 上 的 插口 ， 一 个 总 机 操 
作 员 会 监视 着 一 个 面板 上 的 指示 灯 和 插头 。 当 指示 灯亮 起 的 时 候 , 它 就 会 连接 这 个 呼叫 者 ， 
问 它 想 要 和 谁 通话 ， 然 后 插 一 根 电线 将 它 和 它 的 目的 地 址 连接 起 来 。 每 次 呼叫 都 需要 有 一 
个 源 端 口 ( 呼 叫 者 ) 和 目的 端口 (接受 者 ) 。TCP 端口 大 概 就 是 这 样 工 作 的 。 

为 了 能 够 将 数据 传输 到 远程 服务 器 或 设备 的 特定 应 用 中 去 ，TCP 数据 包 必须 知道 远程 
服务 所 监听 的 端口 。 如 果 想 试 着 连接 一 个 不 同 于 所 设置 的 端口 ， 那 么 这 个 通信 就 会 失败 。 
这 个 序列 中 的 源 端 口 并 不 十 分 重要 ， 所 以 可 以 随机 选择 。 远 程 服务 器 也 可 以 很 简单 地 从 发 
送 过 来 的 原始 数据 包 中 得 到 这 个 端口 。 如 图 13.1 所 示 , 在 该 图 中 列举 两 种 服务 使 用 的 TCP 
端口 。 


第 13 章 TCP 协议 抓 包 分 析 


在 端口 80 上 侦 听 


一 iD 3221 8m02s 
| 一 一 源 端 口 25 /目标 端口 3221 一 一 上 民 


客户 并 电子 邮件 服务 
在 端口 25 上 侦 听 


图 13.1 TCP 使 用 端口 传输 数据 


图 13.1 是 客户 端 与 Web 服务 器 和 邮件 服务 器 的 一 个 通信 。 从 该 图 中 ， 可 以 看 到 客户 
端 与 不 同 服务 器 建立 连接 时 ， 使 用 的 源 端口 和 目标 端口 都 不 同 。 
在 使 用 TCP 进行 通信 的 时 候 ， 有 65535 个 端口 可 供 使 用 ， 并 通常 将 这 些 端 口 分 成 两 个 
部 分 。 如 下 所 示 。 
口 1 一 1023: 是 标准 端口 组 (忽略 掉 被 预 留 的 0) ， 特 定 服务 会 用 到 这 些 通常 位 于 标 
准 端口 分 组 中 的 标准 端口 。 
口 1024 一 65535: 是 临时 端口 组 〈 尽 管 一 些 操作 对 此 有 着 不 同 的 定义 ) ， 当 一 个 服务 
想 在 任意 时 间 使 用 端口 进行 通信 的 时 候 ， 操 作 系统 都 会 随机 选择 这 个 源 端口 ， 让 
这 个 通信 使 用 唯一 源 端口 。 这 些 源 端口 通常 就 位 于 临时 端口 组 。 


13.1.3 TCP 三 次 握手 


在 TCP/IP 协议 中 ，TCP 协议 提供 可 靠 的 连接 服务 ， 通 过 使 用 三 次 握手 建立 一 个 连接 。 
所 有 基于 TCP 的 通信 都 需要 以 两 台 主机 的 握手 开始 。 下 面 将 介绍 TCP 的 三 次 握手 。TCP 
的 三 次 握手 如 图 13.2 所 示 。 


客户 端 

发 送 SYN 报 文 
9 (Seq=x, SYN=1 ) = 

© 发 送 SYN+ACK 报 文 
2 (Seq=y , Ack=x+1, 
@@ 发 送 ACK 报 广 SYN=1,ACIED 
(Seq=x+l, Ack=y+1, 
ACK=1) > 


图 13.2 TCP 三 次 握手 


ss 
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图 13.2 描述 了 TCP 的 三 次 握手 。 为 了 帮助 用 户 更 清晰 地 理解 TCP 协议 ， 下 面 将 详细 
介绍 这 三 次 握手 。 在 该 图 中 ，Seq 表示 请 求 序列 号 ，Ack 表示 确认 序列 号 ，SYN 和 ACK 
为 控制 位 。 

1. 第 一 次 握手 

第 一 次 握手 建立 连接 时 ， 客 户 端 向 服务 器 发 送 SYN 报 文 (Seq=x，SYN=1) ， 并 进入 
SYN_SENT 状态 ， 等 待 服务 器 确认 ， 如 图 13.3 所 示 。 


| 
wy | 
客户 并 
发 送 SYN 报 文 “| 一 
0 (i SYN=D)| 人、 
图 13.3 第 一 次 握手 


2. 第 二 次 握手 


第 二 次 握手 实际 上 是 分 两 部 分 来 完成 的 ， 即 SYN+ACK (请 求 和 确认 ) 报 文 。 
(1) 服务 器 收 到 了 客户 端的 请 求 ， 向 客户 端 回复 一 个 确认 信息 (Ack=x+1)。 
(2) 服务 器 再 向 客户 端 发 送 一 个 SYN 包 (Seq=y) 建立 连接 的 请 求 ， 此 时 服务 器 进入 


SYN_RECYV 状态 ， 如 图 13.4 所 示 。 


= 1 
A ml 
客 “服务 由 


十 发 送 SYN 报 文 
ER 
发 送 SYN+ACK 报 文 


| (Seq=y, Ack=x+l1, 
SYN=1, ACK=1) 


图 13.4 第 二 次 握手 


3. 第 三 次 握手 
第 三 次 握手 客户 端 收 到 服务 器 的 回复 《SYN+ACK 报 文 ) 。 此 时 ， 客 户 端 也 要 向 服务 


3 
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器 发 送 确认 包 (ACK) 。 此 包 发 送 完毕 客户 端 和 服务 器 进入 ESTABLISHED 状态 ， 完 成 三 
次 握手 ， 如 图 13.5 所 示 。 


De 
服务 器 
发 送 SYN 报 文 
0 (Seq=x, SYN=1) se 
发 送 SYN+ACK 报 文 


BE (Seq=y, Ack=x+], 
SYN=1, ACK=1) 
@ 发送 ACK 报 文 
(Seq=x+l1 ，Ack=y+l1， 
ACK=1) a 


图 13.5 第 三 次 握手 
这 样 就 完成 了 三 次 握手 。 此 时 ， 客 户 端 就 可 以 与 服务 器 开始 传送 数据 了 。 


13.1.4 TCP 四 次 断 开 


在 TCP 中， 每 次 握手 后 都 会 终止 。 就 和 人 与 人 之 间 互相 问候 一 样 ， 最 终 都 会 有 一 句 再 
。TCP 终止 用 来 在 两 台 设备 完成 通信 后 正常 地 结束 连接 。 该 过 程 包含 4 个 数据 包 ， 并 且 
一 个 FIN 标志 来 表明 连接 的 终结 。 

TCP 四 次 断 开 连接 如 图 13.6 所 示 。 

在 以 上 过 程 中 ,通过 发 送 了 4 个 数据 包 f= 一“ ea 
断 开 了 与 服务 器 的 连接 。 整 个 过 程 的 一 个 详 a 


四 一 一 一 一 FINACK- 


型 己 


细 概 述 如 下 所 示 。 EC ACK: 

(1) 客户 端 通过 发 送 一 个 设置 了 FIN 。 客 记 中 
和 ACK 标志 的 TCP 数据 包 , 告诉 服务 器 通 图 13.6 TCP 四 次 断 开 
信和 已 经 完成 。 


(2) 服务 器 收 到 客户 端 发 送 的 数据 包 后 ， 发 送 一 个 ACK 数据 包 来 响应 客户 端 。 
(3) 服务 器 再 向 客户 端 传输 一 个 自己 的 FIN/ACK 数据 包 。 
(4) 客户 端 收 到 服务 器 的 FIN/ACK 包 时 ， 响 应 服务 器 一 个 ACK 数据 包 。 然 后 结束 通 


13.1.5 TCP 重 置 
在 理想 情况 中 ， 每 一 个 连接 都 会 以 TCP 四 次 断 开 来 正常 地 结束 会 话 。 但 是 在 现实 中 ， 
连接 经 常会 突然 断 掉 。 例 如 ， 这 可 能 由 于 一 个 潜在 的 攻击 者 正在 进行 断 开 扫 描 ， 或 者 仅仅 


是 主机 配置 的 错误 。 在 这 些 情况 下 ， 就 需要 使 用 设置 了 RST 标志 的 TCP 数据 包 。RST 标 


i 
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志 用 来 指出 


连接 异常 中 止 或 拒绝 连接 请 求 的 包 。 


13.2 ”捕获 TCP 数据 包 


前 面 详细 介绍 了 TCP 协议 的 概述 ， 接 下 来 就 可 以 捕获 TCP 数据 包 了 。 本 节 将 介绍 使 
用 Wireshark 工具 捕获 TCP 数据 包 。 为 了 方便 对 TCP 数据 包 的 分 析 ， 将 介绍 对 捕获 的 数据 


包 进 行 


全 :23 


在 
滤器 ， 


过 滤 并 着 色 。 


使 用 捕获 过 滤器 


Wireshark 中 ， 提 供 了 捕获 TCP 数据 包 的 捕获 过 滤器 。 下 面 将 介绍 使 用 tcp 捕获 过 


捕获 TCP 数据 包 。 


在 捕获 TCP 数据 包 之 前 ,首先 介绍 本 例 的 
网 络 环境 ， 如 图 13.7 所 示 。 

以 上 是 一 个 简单 的 网 络 环境 。 这 里 可 以 通 
过 直接 在 PC 上 开启 Wireshark 工具 ， 然 后 通 
过 访问 网 页 来 捕获 TCP 数据 包 。 配 置 好 以 上 环 


二 


Web 服 务 器 


境 后 , 即 可 开始 捕获 数据 。 捕获 TCP 数据 包 的 ”客户 端 i 
具体 操作 步 又 如 下 所 示 。 

(1) 启 动 Wireshark 工具 , 将 显示 如 图 13.8 
所 示 的 界面 。 


IP: 192 168. 5.2 


图 13.7 Wireshark 位 置 


The wireshark Networe Analyrer [Wireshark 1107 (v110.7-0-g6b931a1 from master-110)] l= 


Ready to joad orGpture 


Ele Ed Vew Go Gpture Anayze Statstics Teleohony IToos Intemas Hep 
回 @ 有 本 区 | 白 外 其他 |， 和 开业 | 回国 QI 可 加 昌 基 | 加 


Fiker 图 Expression.. Clear Apply Save 
——i TheWorld's Most Popular Network Protocol Analyzer 
WIRESHARK CC verscn 1.107 (i.107-0-g6b931a1from master-1.10, 

PE 

Interface List [二 Open 全 Websi - 
Live i ef the capture terfoces, opm a arericusty captured fe veern | 
(counts ncoming packets) 
| Open Recent: User's 
帮 Stat CNwresharklll11.pcapng (2468 kB) 加 
Com ome or men too pten from ten Srt CWresharkidhcp.pcapng (17 kB) 有 
四 He 表 © Sample Captures 外 ‘Work wah 
VMware Network Adapter VMnetl At mmeteeent ef metphs ope Baa en the els 


ER vMware Network adanter VMnetR 


图 Capture Options 


Start capture wth detaied optors 


No Packets Profle; De 这 


图 13.8 Wireshark 主 界面 


(2) 在 该 界面 的 菜单 栏 中 依次 选择 CapturelOptions 命令 ， 或 者 单 击 工具 栏 中 的 回 ( 显 
示 捕 获 选项 ) 图 标 打开 Wireshark 捕获 选项 窗口 ， 如 图 13.9 所 示 。 
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Link-layer header Prom. Mode Snaplen [8] Buffer [MiB] Capture Fiker ~ 


Ethernet enabled 。 defauk 2 tp 


© Capture on al interfaces 
Use promiscuous mode on all interfaces 


CO ER 
Capture Fies Dispby Options 

Fie: [CNWiresharltcp pcapng| [Eewse-] 。 回 Updatefaofpacketsinrealime 

© Use mukiple fles 园 Use pcap-ng format TD Automatically scroll during live capture 


Next file every 二 megabyte(s) 


1 

Next file every 1 3 |minute(s) 加 园 Hide capture info dialog 

Ring buffer with 2 -fies Name Resolution 
1 


3 fle(s) Resolve MAC addresses 


Stop capture after 


Stop Capture Automaticaly After... DR k-layer 


四 |: 3 packet(s) 
四 |1 
回 |1 


园 Resolve transport-layer name 


园 Use external network name resolver 


(3) 在 该 


图 13.9 捕获 选项 窗口 
玄 界 面 选择 捕获 接口 ,设置 捕获 过 滤器 及 捕获 文件 的 保存 位 置 , 如 图 13.9 所 示 。 


以 上 信息 配置 完 后 ， 单 击 Start 按钮 ， 将 显示 如 图 13.10 所 示 的 界面 。 


50096 
66 50098 
62 50099 
66 50100 
62 50101 > 
62 50102 > 
htrp > 
90093- 


ly 


.168.5.2 119.188.89.220 汶 F 
aa .48.42 192.168.5. -一 一 me Ack] sm ‘9 


le [Meady to bad or aptwre | Packets: 5315 + * Deplayed: 5315 (100… | Profile: Defaukt 


图 13.10 ”捕获 的 TCP 数据 包 


(4) 从 Wireshark 的 Packet Lists 面板 中 ， 可 以 看 到 Protocol 列 捕获 到 了 TCP 协议 数据 
包 。 有 的 用 户 可 能 看 到 有 HTTP 协议 的 包 ， 这 是 因为 HITP 也 是 运行 在 TCP 协议 之 上 的 。 
关于 HTTP 协议 ， 在 后 面 章节 中 会 进行 详细 介绍 。 


如 果 用 


户 启动 Wireshark 后 ， 没 有 捕获 到 任何 数据 包 的 话 ， 说 明 当前 系统 中 没有 运行 


任何 TCP 协议 的 数据 包 。 这 时 候 ， 用 户 可 以 通过 访问 一 个 Web 服务 器 以 产生 TCP 协议 的 
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数据 包 ， 如 www.qq.com、www.baidu.com 等 。 

当 用 户 想 要 捕获 TCP 四 次 断 开 的 数据 包 时 ， 就 需要 手动 地 断 开 客户 端 与 服务 器 的 连 
接 。 这 时 候 用 户 可 以 手动 地 关闭 Web 网 页 ， 以 捕获 TCP 四 次 断 开 的 数据 包 ， 如 图 13.11 
所 示 。 


tcppcapng [Wireshark 1107 (vL107-0-g6b931al from master-110)] ems) 
Ele Edt Vew Go Capture Anayze Statstcs Telephony IToos Jntemas Hep 
dg 已 外 其 久 A9 守 中 于 和 业 得 和 有 上品 | 配 国 色 > 


Fiker | Expression-，Clear Apply Save 


221 1. 519428000 192.168.5.2 119.188.89.220 TCP 54 50095 > http [ACK] Seq=5; 
222 1.527844000 192.168.5.2 112.95.243.38 TCP 54 50098 > htrp [FIN, ACK] : 
224 1.544152000 1 60 hrrp > 50099 [ACK] Seq=l 


225 1. 544396000 


1494 Continuation or non-HTTP 
54 50095 > htrp [ACK] Seq=5; 
1494 Continuation or non-HTTP - 


228 1. 545993000 
229 1. 572218000 


|®@ | Ready to load or apture Packets: 5315 * Displayed: 5315 (100.0%) * ... | Profie: Defauk 


图 13.11 TCP 四 次 断 开 的 数据 包 


从 该 界面 的 Info 列 中 看 到 标志 位 为 [FIN，ACK] 的 包 时 ， 就 表示 捕获 到 TCP 四 次 断 开 
的 数据 包 了 。 这 时 候 ， 用 户 可 能 一 下 无 法 找到 这 种 类 型 的 数据 包 。 此 时 ， 用 户 可 以 使 用 显 
示 过 滤器 过 滤 显 示 。 


13.2.2 ”使 用 显示 过 滤器 


在 图 13.10 所 示 的 状态 栏 中 ,可 以 看 到 tcp.pcapng 捕获 文件 中 共 捕 获 了 5315 个 数据 包 。 
这 样 用 户 一 下 也 分 不 清楚 , 哪儿 个 包 是 一 个 完整 的 会 话 ,而 且 不 知 如 何 来 分 析 TCP 三 次 握 
手 、 四 次 断 开 等 。 为 了 解决 用 户 的 困扰 ， 下 面 将 介绍 使 用 显示 过 滤器 过 滤 TCP 数据 包 。 

下 面 以 tcp.pcapng 捕获 文件 为 例 ， 介 绍 使 用 显示 过 滤器 过 滤 TCP 协议 数据 包 。 打 开 
tcp.pcapng 捕获 文件 ， 如 图 13.12 所 示 。 


Ml tcppcapng [Wireshark 1107 (v110.7-0-g6b9311 from master-110)] el") 
Se Edt Vew Go Capture Anayze Statstcs Telephony Toos jntemas Hep 
人 人 大 硬 大 | 巴 外 其 多 所 省 加 于 生 QQQD|I 国 昌黎 ” 
加 spressor- Clear Apply Save 
Protocol Length info < 
权 TEP 5 50056 p q 
a 168. TcP 66 http > 50096 [SYN, ACK] Seq: 
可 可 下 Tp 54 50096 > http [ACK] Seq=1 Acl 
Er .161. TCP 66 50097 > http [SYN] Seq=0 wii 
5.2 .95. TCP 56 50098 > http [SYN] Seq=0 wil 
5.2 .251. TCP 62 50099 > http [SYN] Seq=0 wii 
5.2 .39. Tp 66 50100 > http [SYN] Seq=0 wil 
.5.2 39. Tp 62 50101 > http [SYN] Seq-0 wii 
168.5.2 .39. TCP 62 50102 > http [SYN] Seq=0 wit 
11 0.024953000 119.188.89.220 192.168.5.2 TCP 56 http > 50095 [SYN, ACK] Seq: 
12 0.025036000 192.168.5.2 119.188.89.220 TCP 54 50095 > http [ACK] Seq=1 Acl 
13 0.025955000 192.168.5.2 119.188.89.220 HTTP ~ 639 GET / HTTP/1.1 
14 0.034688000 111.161.48.42 192.168.5.2 TcP http > 50097 TsyN，AcK1 seq ~ 
4 和 
\@ | Ready to bad or apture Packets: 5315 * DspByed: 5315 (100.... | Profie: Defauit 
[~ 3 , 


图 13.12 tcp.pcapng 捕获 文件 
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从 该 界面 的 状态 栏 中 ， 可 以 看 到 捕获 的 所 有 数据 包 。 这 时 候 ， 用 户 可 以 通过 使 用 TCP 
协议 中 的 标志 位 对 数据 包 进 行 过 滤 。 例 如 ， 过 滤 SYN=1 的 数据 包 ( 三 次 握手 ) ， 输 入 显 
示 过 滤器 tcp.flags.syn 一 1， 显 示 结 果 如 图 13.13 所 示 。 


加 大 本 区 | 巴 外 其 仿 | 六 浊 放 加 于 生 | 国 加 QI 如 四 昂 关 | 吕 


Fiher Expression.. Clear Appl) Save 
ee 


| 

让 

下 
结 
人 


i 


66 http > 50096 


Hd 
EE 
证 


TI 


EE 


566 
66 
56 
62 
56 
52 
52 
56 
66 
全 


人 
上 


Packets: 5315 * Dsplayed: 215 (4,0%) * Lo,., | Profie: Defauk 


图 13.13 过 滤 的 SYN 包 


从 Wireshark 的 状态 栏 中 , 可 以 看 到 共有 215 个 数据 包 匹 配 tcp.flags.syn=1 显示 过 滤器 。 
在 Packet List 面板 中 ，Info 列 中 数据 包 的 描述 是 SYN 和 [SYN，ACK] 包 。 

如 果 用 户 需要 过 滤 FIN=1 的 数据 包 《〈 四 次 断 开 ) ， 可 以 使 用 tcp.flags.fin==1 显示 过 滤 
器 进行 过 滤 。 过 滤 后 ， 显 示 结 果 如 图 13.14 所 示 。 


Ee Edt Yew Go Capture Anayze Statetcs Telephony Too6 Intemas Hep 
RE | 


@ W Ready to bad or capture Packets: 5315 * Displayed: 80 (1.5%) * L... | Profie: Defauk 


图 13.14 过 滤 的 FIN 数据 包 


从 以 上 过 滤 的 结果 中 ， 可 以 看 到 有 80 个 数据 包 匹 配 tcp.flags.fin 过 滤器 。 在 Wireshark 
的 Packet List 面板 的 Info 列 ， 可 以 看 到 这 些 数据 包 是 [FIN，ACK] 包 。 这 样 就 可 以 分 析 单 
个 TCP 数据 包 了 。 


13.2.3 ”使 用 着 色 规 则 


通过 前 面 的 介绍 , 可 以 看 到 使 用 显示 过 滤器 过 滤 TCP 数据 包 后 ， 只 能 分 析 单 个 类 型 的 
数据 包 ， 不 能 分 析 整 个 工作 过 程 。 下 面 通过 使 用 着 色 规 则 ， 分 别 高 亮 显示 TCP 三 次 握手 和 
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四 次 断 开 的 会 话 。 下 面 同样 以 tcp.pcapng 捕获 文件 为 例 ， 介 绍 使 用 着 色 规 则 将 TCP 会 话 高 
亮 显示 。 

1. 高 亮 显示 TCP 的 三 次 握手 

高 亮 显示 TCP 三 次 握手 数据 包 。 具 体操 作 步 又 如 下 所 示 。 

(1) 打开 tcp.pcapng 捕获 文件 ， 如 图 13.15 所 示 。 


tcppcapng [Wireshark 1.107 (v1107-0-g6b931a1 from master-110)] ET 


Fle Edt Vew Go Capture Anayze Statstcs Telephony Toos Intemas Hep 
00@RlAlDDOXSAe 人 OT EE 国 QQQnl 国 鸭 关 ， 
[= erpression.. Ceer” Apply “Seve 
Protocol Length Info 加 
Tp 66 hrrp > 50096 [SYN, ACK] Seq: 
TCP 54 50096 > http [ACK] Seq=1 Acl 
TP 66 50097 > http [SYN] Seq=0 wit 
TCP 66 50098 > http [SYN] seq-0 Wit 
TCP 52 50099 > hrtp [SYN] Seq=0 wit 
Tcp 66 50100 > http [SYN] Seq-0 wit 
TCP 62 50101 > http [SYN] Seq=0 wit 
Tcp 62 50102 > http [SYN] Seq=0 wit 
Tp 66 http > 50095 [SYN, ACK] Seq: 
TcP 54 50095 > http [ACK] seq=1 Acl 
119.188.89.220 HTTP 639 GET / HTTP/1.1 
Tp 66 http > 50097 [SYN, ACK] Seq ~ 
a ] ; 
@ | Ready to oad or capture Packets: 5315 * Displayed: 5315 (100.... Profile: Defauk 


图 13.15 tcp.pcapng 捕获 文件 


(2) 在 该 捕获 文件 中 ， 可 以 看 到 有 多 个 目标 人 P 地 址 。 这 是 因为 每 次 访问 的 网 页 ，DNS 
解析 出 来 的 下 地 址 是 不 同 的。 但 是 客户 端的 他 地 址 是 国定 的 ， 本 例 中 的 客户 端 瑟 地址 为 
192.168.5.2。 所 以 一 个 完整 的 TCP 会 话 中 ， 源 卫 地 址 一 定 是 192.168.5.2， 目 标 卫 地 址 就 
不 一 定 了 。 本 例 中 选择 客户 端 192.168.5.2 与 服务 器 221.204.186.74 之 间 的 数据 。 这 里 首先 
使 用 显示 过 滤器 ， 将 这 两 台 主机 的 数据 包 过 滤 ， 过 滤 结 果 如 图 13.16 所 示 。 

遂 tcppcapng [Wireshark 1107 (W1107-0-g6b931al from masterl10 [= 到 


Ee Edt Vew Go Capture Anayie Statetcs Telephony Toog Intemas Heb 
do0lfi| 电 的 XX 名 lA% 人 中 名 了 和 生 | 瑟 国 aaQ 四 站 | 加 


rhe er [| borecsen. door Appy sew 


i Protocol Length info 
1 4 TCP 66 50096 
92 Top 66 http > 
4 0.008386000 192 5.2 221. 186.74 TCP 54 50096 > http Seq= 
361 3.118209000 192.168.5.2 221.204.186.74 HTTP 504 GET /finance/js/st/p/99/9-fin. 
364 3.128565000 221.204.186.74 192.168.5.2 TCP 60 http > 50096 [ 
365 3.130121000 221.204.186.74 192.168.5.2 TCP 1494 [TCP segment of a reassembled 
366 3.130242000 Tp 54 50096 > htrp 51 Acl 
367 3.131335000 ep 1494 [TCP segment of a reassembled 
368 3.131438000 TP 54 50096 > http [ACK] Seq=451 Acl 
369 3.135620000 TP 1494 [TCP segment of a reassembled 
370 3.135761000 TCP 54 50096 > http [ACK] 51 Acl - 
aa > acernnon ane Oe mn Same 
4 上 
®@ Wi | Ready to oad or capture Packets: 5315 * Displayed: 86 (1.6%) * L... | Profie: Defaut 


图 13.16 192.168.5.2 和 221.204.186.74 主机 的 数据 包 


(3) 从 图 13.16 所 示 窗 口 的 状态 栏 中 ， 可 以 看 到 匹配 ip.addr 一 192.168.5.2 and 
p.addr 一 221.204.186.74 显示 过 滤器 的 数据 包 有 86 个 .这 样 就 可 以 根据 Info 列 中 的 包 信 息 ， 
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推断 出 一 个 完整 的 TCP 会 话 。 为 了 更 清晰 地 显示 一 个 完整 的 会 话 ， 这 里 将 它们 进行 着 色 。 
(4) 在 图 13.16 中 选择 第 2 帧 单 击 右键 ， 将 弹出 如 图 13.17 所 示 的 界面 。 
(5) 在 该 菜单 栏 中 ， 显 示 了 可 以 对 第 2 帧 进行 操作 的 菜单 项 。 这 里 依次 选择 Colorize 
Conversation|TCP|Colorl 命令 ， 如 图 13.18 所 示 。 


Mark packet (toggle) 


JIgnore Packet (toggle) 
© Set Tme Reference (toggle) 
© Tme Shft... 
语 Packet Comment... 
Mark packet (toggle) Manualy ResoNe Address 
Jgnore Packet (toggle) 
© Set Time Reference (toggle) cd 和 
© Time shit. jae 
= ee Conversation Fiter » 
加 Packet Comment… Colorze Conversation » Ethemet 》 
Manualy Resove Address SC | 本 更 » 
Folow TCP Stream Tp 
Apply as Fiter lg Folow UDP Stream 因 Cobr1 
Prepare a Fiker 4 Folow SSL Stream UDP 至 Color2 
Conversation Fiker » PN-CBA Server 上 
Colorze Conversation » Copy b 国 Color3 
SCTP Protocol preferences 国 Coor4 
Folow TCP Stream 各 Decode As 下 Coor5 
Folow UDP Stream 局 prmnt… coor6 
Folow SSL Stream 
Show packet n New Window 下 coor7 
Protocol preferent ds 
Ices 和 
宰 Decode As… 下 Color9 
加 prnt… as coor10 
Show packet n New Window New Coloring Rule… 
图 13.17 第 2 帧 的 右键 菜单 栏 图 13.18 选择 着 色 颜 色 


(6) 这 里 选择 第 一 种 颜色 ，Wireshark 中 的 数据 包 显 示 结 果 如 图 13.19 所 示 。 


tppcapng Wireshark1107 MLl07096bg3lalfommaserliiml [lelel 
Ele Edt Vew Go Capture Anayze Statistics Telephony Took Intemas Hep 
do@a 有 | 人 XDAP 人 OFT | 国 国 AaQQmI 四 罗 襄 » 


rhe aa 下 span coor sop sn 


No Time Source Destination Protocol Length Info 


md 


oe ol » 
| Ready to load or capture Packets: 5315 * Dispbyed: 86 (1.6%) ... | Profie: D 


图 13.19 着 色 后 的 显示 结果 


(7) 此 时 就 可 以 通过 高 亮 显 示 的 颜色 ， 来 分 析 数 据 包 了 。 根 据 Info 列 中 的 包 信息 ， 可 
以 判断 出 2、3、4 帧 是 一 个 完整 的 TCP 会 话 〈 三 次 握手 ) 。 

为 了 方便 后 面 对 数 据 包 进 行 分 析 ， 这 里 将 2、3、4 帧 导出 。 在 Wireshark 的 菜单 栏 中 ， 
依次 选择 File|Export Specified Packets 命令 ， 将 打开 如 图 13.20 所 示 的 界面 。 
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在 该 界面 指定 导出 包 的 范围 为 2 一 4, 然后 指定 包 保存 的 位 置 及 捕获 文件 名 。 这 里 将 2 一 
4 帧 保存 到 tcp-handshake.pcapng 捕获 文件 ， 如 图 13.20 所 示 。 然 后 单 击 “ 保 存 ” 按 钮 。 当 
分 析 TCP 三 次 握手 时 ， 就 可 以 直接 打开 tcp-handshake.pcapng 捕获 文件 进行 分 析 了 。 


2. 高 亮 显 示 四 次 断 开 
下 面 以 tcp.pcapng 捕获 文件 为 例 ， 介 绍 高 亮 显 示 四 次 断 开 的 方法 。 具 体操 作 步 又 如 下 
所 示 。 


(1) 打开 tcp.pcapng 捕获 文件 ， 并 使 用 tcp.flags.fin 一 1 显示 过 滤器 ， 过 滤 TCP 四 次 断 
开 的 数据 包 ， 如 图 13.21 所 示 。 


CETTE TELIIESTTEEI TLL: 


图 13.21 过 滤 显 示 FIN 数据 包 
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(2) 以 上 信息 显示 的 是 发 送 TCP 断 开 连接 的 数据 包 。 在 前 面 捕获 数据 包 时 ， 是 通过 关 
闭 Web 网 页 捕获 的 TCP 数据 包 。 所 以 ， 首 先 发 送 断 开 连接 的 数据 包 是 由 服务 器 完成 的 。 
这 里 就 以 源 地 址 为 112.95.243.38 的 服务 器 为 例 ， 对 TCP 断 开 连接 的 数据 包 高 亮 显 示 。 

(3) 这 里 首先 使 用 显示 过 滤器 过 滤 112.95.234.38 和 192.168.5.2 之 间 通 信 的 数据 包 ， 
过 滤 结 果 如 图 13.22 所 示 。 


tcppespng [wireshark1107 wl107.0-95b93lalfommasterlii [Ee 


Ee Elk Vew Go Captwre Anave Statstcs Telephony Took Jntemas Hep 
dO@Rli 电 XDIAe 人 OF | 国 辐 QQAQD 田园 ， 


Her edged 100 wd odd i828 [5] eorerien. Car Any Som 


38 0.075275000 112.95.243. > tp > 50098 [SYN, ACK] Seq: 
39 0.075354000 192.168.5.2 112.95.243.38 TCP 54 50098 > http [ACK] Seq=1 Ac 
208 1.453339000 192.168.5.2 112.95.243.38 HTTP 796 GET /collect?pj=1990&dm=www. 


215 1.512411000 11; 192.168.5.2 TCP 
216 1. 512605000 112.95.243.38 192.168.5.2 HTTP 
217 1.512667000 192.168.5.2 112.95.243.38 TCP 
218 1.512723000 112.95.243.38 192.168.5.2 TP 
219 1.512757000 192.168.5.2 112.95,.243.38 TCP 
222 1.527844000 192.168.5.2 112.95.243.38 TCP 

TP 


|@ Wi | Ready to load or capture Packets: 5315 * Displayed: 28 (0.5%) * Load time... | Profie: Defauk | 


图 13.22 ”112.95.234.38 和 192.168.5.2 通信 的 数据 包 


(4) 在 该 界面 显示 了 主机 112.95.234.38 和 192.168.5.2 通信 的 数据 包 。 其 中 ， 标 志 位 
为 [FEIN，ACK] 的 数据 包 才 是 断 开 连接 的 数据 包 。 所 以 ， 第 218 帧 是 第 一 次 发 送 断 开 连 接 的 
主机 。 这 里 通过 对 218 帧 着 色 ， 以 便 高 亮 显 示 TCP 断 开 连接 的 整个 会 话 。 

(5) 选择 并 右键 单 击 218 帧 ， 将 弹出 如 图 13.23 所 示 的 右键 菜单 栏 。 

(6) 在 该 菜单 中 ， 可 以 看 到 所 有 可 以 对 38 帧 进行 操作 的 选项 。 这 里 依次 选择 Colorize 
Conversation|TCP|Color2 命令 ， 如 图 13.24 所 示 。 


Mark packet (toggle) 
Jonore Packet (toggle) 
© Set Tme Reference (toggle) 
© Tme Shft... 
总 Packet Comment... 
Mark packet (toggle) 
Jonore packet (toggle) a 
© Set Time Reference (toggle) Appy as FRer » 
© Time shit... Prepare a Fer » 
天 Packet Comment... Conversation Fiter = 
Colorke Conversation 上 Ethemet » 
Manualy Resolve Address SCTP » Pp » 
Apply as Fiter » ei ta TO »| 于 coor1l 
prepare a Fiter » es UDP » 
Fler 光 Folow SSL Stream Pe * Color2 
Colorze Conversation Copy » 到 Color 3 
SCTP protocol preferences ， 四 cokor4 
sa 3 pecode As... 下 coor5 
olow UDP Stream 
prnt... * Cobr6 
Folow SSL Stream a + > 
Copy 
Protocol preferer E 
references » 
3 Decode As... a 
print... Sa 
Show Packet mn New Window New Coloring Rule… 
图 13.23 ”右键 菜单 栏 图 13.24 选择 着 色 颜色 
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(7) 这 里 选择 使 用 第 二 种 颜色 进行 着 色 。 着 色 后 显示 结果 如 图 13.25 所 示 。 


(teppcapng Wireshark 1107 (v1107-0-96b9311 from master-110)] leey =x™) 
Ele Edt Vew Go Capture Anayze Statistics Telephony Iook Intemas Hep 
RE 
Fiher ipade ddr=: 上 gpression- Clear Apply Save 

6 0.018372000 19 112.55.243.38 TC 66 5 [syN] s 
38 0.075275000 “112.95.243-38 192.168.5-2 66 50098 人 
39 0.075354000 192.168.5.2 112.95.243.38 。 TCP 54 50098 > hrrp_[ACK] Seq=1 Ack=:= 
208 1.453339000 192.168.5.2 112.95.243.38 HTP 796 GET /collect?pj=1990&dm=www.ql 
214 1. 512336000 112.95.243.38 192.168.5.2 TCP 60 [TCP ACKed unseen segment] hti 
215 1. 512411000 112.95.243.38 192,168.5.2 TCPp 60 http > 50098 [ACK] Seq=1 Ack=; 
216 1,512605000 ”112.95.243.38 192,168.5.2 HTP 122 HTTP/1.1 200 OK 
217 1.512667000 192.168.5.2 112.95.243.38 TCP 54 50098 > http [ACK] Seq=743 Acl 
218 1,512723000 112,95.243.38 192.168.5.2 TCP 60 http > 50098 [FIN, ACK] Seq=6! 
219 1. 512757000 192,168.5.2 112.95.243.38 TCP 54 50098 > http [ACK] Seq=743 Acl 
222 1.527844000 192.168.5.2 112.95.243.38 TCP 54 50098 > http [FIN, ACK] Seq=7: 
233 1.584279000 112.95.243.38 192.168.5.2 TCP 60 http > 50098 [ACK] Seq=70 Ack: 
4318 16.036880000 192.168.5.2 112.95.243.38 TCP 66 50191 > hrrp [SYN] Seq-0 Win=!™ 
二 = 入 ] F 
@ WReady to oad or capture Packets: 5315 * Displyed: 28 (0.5%) * Load time: 0... | Profie: Defaut 


图 13.25 ”高 亮 显示 TCP 数据 包 


(8) 从 该 界面 可 以 看 到 ， 主 机 112.95.234.38 和 192.168.5.2 通信 的 数据 包 已 经 以 第 二 
种 颜色 高 亮 显示 。 从 中 可 以 看 到 ，4318 帧 和 前 面 的 数据 帧 的 颜色 是 不 同 的 。 所 以 ， 由 此 可 
以 判断 出 218、219、222 和 233 帧 是 TCP 四 次 断 开 连接 的 数据 包 。 

为 了 方便 后 面 对 该 数据 包 进 行 分 析 ， 将 这 4 个 数据 帧 导出 到 一 个 新 的 捕获 文件 中 。 由 
于 这 4 个 数据 帧 不 连贯 ， 在 导出 时 就 不 可 以 指定 范围 将 其 导出 。 这 里 将 这 4 个 数据 帧 进行 
标记 ， 然 后 选择 导出 标记 的 数据 包 。 

在 图 13.25 中 分 别 选择 218、219、222 和 233 帧 ， 单 击 右键 选择 Mark Packet(toggle) 
选项 进行 标记 ， 标 记 后 显示 界面 如 图 13.26 所 示 。 

( @ tcppcapng Wireshark 1107 (v1.10.7-0-9g6b9311 fom master-110)] ET 


Ele Edt View Go Capture Anayze Statistics Telephony Iook Intemas Hep 
da@ld| 马 人 其 多 | 人 中国 于 生 | 图 国 QQQ 加 | 本田 罗 尖 | 加 


Fiker i ip， 38 [= | Expression.. Clear Apply Save 
Protocol Length Info 


图 13.26 标记 的 包 


在 该 界面 的 菜单 栏 中 依次 选择 File|Export Specified Packets 命令 ,将 打开 如 图 13.27 所 
示 的 界面 。 

在 该 界面 Packet Range 栏 中 , 选择 Marked packet 选项 。 然 后 ， 指 定 该 捕获 文件 的 保存 
位 置 和 文件 名 ， 这 里 将 导出 的 包 保存 到 tcp-break.pcapng 捕获 文件 中 ， 如 图 13.27 所 示 。 设 
置 完 以 上 信息 后 ， 单 击 “保存 ”按钮 保存 导出 的 数据 包 。 


。248 。 


第 13 章 TCP 协议 抓 包 分 析 


保存 在 DD): 且 traces 1 
大 名 称 修改 日 期 类 型 
4 2014/8/2616:16 oc Wiresha 
二 FE 访问 的 位 置 "P53Pn9 
png 2014/8/22 18:45 Wireshar 
| | TS dhcp-port.pcapng 2014/8/23 16:55 Wireshar 
a Sip.pcapng 2014/8/27 13:30 Wireshar 
Sip-fragment.pcapng 2014/8/28 15:52 Wireshar 
EE | tcp.pcapng 2014/8/30 14:13 Wireshar 
Ee TE tcp-handshake.pcapng 2014/8/3017:02 = Wireshar 
名 udp.pcapng 2014/8/2912:30 Wireshar 
计算 机 
5 ， 
文件 名 oD tep-break peapne ~ 
ka， [re pene open peine em] [9 
者 助 00 
Packet Range 加 Compeee wah 
Captured @ Displayed 
间 packets 28 
Selected packet 1 
© Marked packets 4 
First to last marked 4 
Range: 0 
Remove lgnored packets 


图 13.27 导出 标记 包 


13.3 ”TCP 数据 包 分 析 


通过 前 面 的 详细 介绍 ，TCP 数据 包 已 成 功 地 被 捕获 。 而 且 对 捕获 的 数据 包 进 行 过 滤 ， 
并 且 导 入 到 新 的 捕获 文件 中 了 。 本 节 将 以 前 面 导出 的 捕获 文件 为 例 , 详细 分 析 TCP 数据 包 。 


13.3.1 TCP 首部 


在 分 析 TCP 数据 包 之 前 ， 先 介绍 一 下 TCP 首部 格式 ， 如 表 13-1 所 示 。 
表 13-1 TCP 首 部 格式 


传输 控制 协议 
偏 移 位 0~3 | 4~7 TT 8~15 16~31 
0 源 端 口 目标 端口 
32 序号 
64 确认 号 


标记 
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在 表 13-1 中 ，TCP 首部 的 各 字段 含义 如 下 所 示 。 


源 端 口 : 用 来 传输 数据 包 的 端口 。 
目标 端口 : 数据 包 将 要 被 发 送 到 的 端口 。 


口 


序号 : 该 数字 用 来 表示 一 个 TCP 片段 。 这 个 域 用 来 保证 数据 流 中 的 部 分 没有 缺失 。 
确认 号 : 该 数字 是 通信 中 希望 从 另 一 个 设备 得 到 的 下 一 个 数据 包 的 序号 。 

保留 : 包括 Reserved、Nonce、CWR 和 ECN-Echo， 共 6 个 比特 位 。 

标记 : 用 来 表示 所 传输 的 TCP 数据 包 类 型 。 该 字段 中 可 用 的 标记 包括 URG、ACK、 
PSH、RST、SYN 和 FIN。 

窗口 大 小 : TCP 接收 者 缓冲 的 字 节 大 小 。 

校 验 和 : 用 来 保证 TCP 首部 和 数据 的 内 容 ， 在 到 达 目 的 地 时 的 完整 性 。 

紧急 指针 : 如 果 设 置 了 URG 位 ， 这 个 域 将 被 检查 作为 额外 的 指令 ， 告 诉 CPU 从 
数据 包 的 哪里 开始 读 取 数 据 。 

选项 : 各 种 可 选 的 域 ， 可 以 在 TCP 数据 包 中 进行 指定 。 


上 面 提 到 了 TCP 传输 时 ， 可 用 到 的 标记 有 URG、ACK、PSH、RST、SYN 和 FIN 6 
种 。 下 面 分 别 介绍 这 6 种 标记 的 作用 ， 如 下 所 示 。 


口 


目 


"230° 


URG: 紧急 标志 。 此 标志 表示 TCP 包 的 紧急 指针 域 有 效 ， 用 来 保证 TCP 连接 不 被 
中 断 ， 并 且 督 促 中 间 层 设备 要 尽快 处 理 这 些 数据 。 

ACK: 确认 标志 。 此 标志 表示 应 答 域 有 效 ， 就 是 前 面 所 说 的 TCP 应 答 号 将 会 包含 
在 TCP 数据 包 中 ; 该 标志 位 有 两 个 值 ， 分 别 是 0 和 1。 当 为 1 的 时 候 ， 表 示 应 答 
域 有 效 。 反 之 为 0。 

PSH: 该 标志 表示 Push 操作 。 所 谓 Push 操作 就 是 指 在 数据 包 到 达 接 收 端 以 后 , 立 
即 传送 给 应 用 程序 ， 而 不 是 在 缓冲 区 中 排队 。 

RST: 该 标志 表示 连接 复位 请 求 。 用 来 复位 那些 产生 错误 的 连接 ， 也 被 用 来 拒绝 错 
误 和 非法 的 数据 包 。 

SYN: 表示 同步 序号 ， 用 来 建立 连接 。SYN 标志 位 和 ACK 标志 位 搭配 使 用 ， 当 连 
接 请 求 的 时 候 ，SYN=1，ACK=0; 当 连 接 被 响应 的 时 候 ，SYN=1，ACK=1。 这 个 
标志 的 数据 包 经 常 被 用 来 进行 端口 扫描 。 扫描 者 发 送 一 个 只 有 SYN 的 数据 包 ， 如 
果 对 方 主机 响应 了 一 个 数据 包 回 来 ， 就 表明 该 主机 存在 这 个 端口 ; 但 是 由 于 这 种 
扫描 方式 只 是 进行 TCP 三 次 握手 的 第 一 次 握手 ， 因 此 这 种 扫描 成 功 表示 扫描 的 机 
器 不 安全 。 因 为 一 台 安 全 的 主机 ， 将 会 强制 要 求 一 个 连接 严格 地 进行 TCP 的 三 次 
握手 。 

FIN: 表示 发 送 端 已 经 达到 数据 末尾 ， 也 就 是 说 双方 的 数据 传送 完成 ， 没 有 数据 可 
以 传送 了 。 此 时 发 送 FIN 标志 位 的 TCP 数据 包 后 ， 连 接 将 被 断 开 。 这 个 标志 的 数 
据 包 也 经 常 被 用 于 进行 端口 扫描 。 当 一 个 FIN 标志 的 TCP 数据 包 发 送 到 一 台 计算 
机 的 特定 端口 后 ， 如 果 这 台 计 算 机 响应 了 这 个 数据 ， 并 且 反 馈 回 来 一 个 RST 标志 
的 TCP 包 ， 就 表明 这 台 计 算 机 上 没有 打开 这 个 端口 ， 但 是 这 台 计 算 机 是 存在 的 ; 
如 果 这 人 台 计 算 机 没有 反馈 回来 任何 数据 包 ， 这 就 表明 ， 这 人 台 被 扫描 的 计算 机 存在 
这 个 端 
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13.3.2 分析 TCP 的 三 次 握手 


TCP 三 次 握手 是 理解 TCP 协议 最 重要 的 部 分 。 下 面 以 tcp-handshake.pcapng 捕获 文件 
为 例 ， 分 析 TCP 的 三 次 握手 。 


1. 第 一 次 握手 
TCP 第 一 次 握手 ， 捕 获 的 数据 包 详 细 信 息 如 图 13.28 所 示 。 


tcp-handshake.pcapng [Wireshark 1.10.7 (v1.10.7-0-g6b931a1 from master-1.10)] el = 
Ele Edt View Go Capture Anayze Statistics Telephony IToos Intemas Hep 

日 生硬 于 | 白 风 多 | 信守 辐 定 生 QQADOI 可 国电 其 | 加 
加 expression.. cear Appy Save 

Protocol Length Info 


rm 


HFrame 1: 66 bytes on wire (528 bits), 66 bytes captured (528 bits) on interface 0 
H Ethernet II, Src: Elitegro_3f:c3:e5 (00:19:21:3f:c3:e5), Dst: TendaTec_84:78:1e (c8:3a:35:84:78:1e) 
H Internet Protocol Version 4, Src: 192.168. 5.2 (192.168.5.2), Dst: 221.204.186.74 (221.204.186.74) 

Transmission Control Protocol, Src Port: 50096 (50096), Dst Port: http (80), seq: 0, Len: 0 | 
4 和 


© | Fame (fame), 66 bytes Packets: 3 * Displayed: 3 (100.0%) * Load ... | Profie: Defaukt 


图 13.28 第 一 次 握手 的 数据 包 


从 Wireshark 的 Packet List 面板 中 的 Info 列 可 以 看 到 显示 的 TCP 标志 位 是 SYN。 所 以 ， 
该 数据 包 是 客户 端 向 服务 器 发 送 的 第 一 次 握手 连接 。 在 Packet Details 面板 中 ， 显 示 了 该 包 
的 详细 信息 。 下 面 将 依次 对 每 行 信息 进行 详细 介绍 。 

Frame 1: 66 bytes on wire (528 bits), 66 bytes captured (528 bits) on interface 0 

以 上 信息 ， 表 示 这 是 第 1 个 数据 帧 的 详细 信息 ， 并 且 该 包 的 大 小 为 66 个 字 节 。 


Ethernet ET Coa Elitegro 3f:c3:e5 {O019221:3EC3a65). 


Dats 
TendaTec 84:78:1e (c8:3a:35:84:78:1e) 


以 上 内 容 是 以 太 网 帧 头 部 的 信息 。 其 中 , 源 MAC 地 址 为 00:19:21:3fic3:e5, 目标 MAC 
地 址 为 c8:3a:35:84:78:le。 


Internet Protocol Version 4, Src: 192.168.5.2 (192.168.5.2), 


Bae 22 
204.186.74 (221.204.186.74) 


以 上 内 容 是 IPv4 首部 的 详细 信息 。 其 中 ， 源 人 P 地 址 为 192.168.5.2， 目 标 人 P 地 址 为 
221.204.186.74。 


Transmission Control Protocol，Src Port: 50096 (50096), Dst Port: http (80) ， 
Seq: 0, Len: 0 
以 上 内 容 是 传输 层 首部 的 详细 信息 ， 这 里 使 用 的 是 TCP 协议 。 其 中 源 端 口 为 50096， 
目标 端口 为 80。 下 面 对 该 首部 中 的 每 个 字段 进行 详细 介绍 ， 如 下 所 示 。 
Source port: 50096 (50096) # 源 端口 号 


Destination port: http (80) 目标 端口 号 
[Stream index: 0] # 流 节点 号 


ns 
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Sequence number: 0 (relative sequence number) 间 序 列 号 

Header length: 32 bytes # 首 部 长 度 

Flags: 0x002 (SYN) # 标 志 ， 这 里 为 SYN 
000, .... .... = Reserved: Not set 


-oa = Nonce: Not set 
-... = Congestion Window Reduced (CWR): Not set 
- = ECN-Echo: Not set 


.0. .... = Urgent: Not set # 紧 急 指 针 
--0 .... = Acknowledgment: Not set # 确 认 编 号 
- 0... = Push: Not set # 紧 急 位 
- = Reset: Not set # 重 置 
ee # 设 置 了 SYN 标志 位 , 并且 该 值 为 1 
[Expert Info (Chat/Sequence) : Connection establish request (SYN): 
server port http] # 专 家 信息 
[Message: Connection establish request (SYN): server port http] 
# 消 息 
[Severity level: Chat] # 安 全 级 别 
[Group: Sequence] # 组 
OO #FIN 标志 位 
Window size value: 8192 # 窗 口 大 小 
[Calculated window size: 8192] # 估 计 的 窗口 大 小 
Checksum: 0x559a [validation disabled] # 校 验 和 


[Good Checksum: False] 

[Bad Checksum: Falsel] 
Options: (12 bytes), Maximum segment size, No-Operation (NOP), Window 
scale, No-Operation (NOP), No-Operation (NOP), SACK permitted 


# 选 项 
Maximum segment size: 1460 bytes # 最 大 段 大 小 
kind: MSS size (2) 
Length: 4 
MSS Value: 1460 
No-Operation (NOP) # 无 操作 指令 
Type: 1 
O05 2s = Copy on fragmentation: No 
a00 ee = C1 Control (0 
...0 0001 = Number: No-Operation (NOP) (1) 
Window scale: 8 (multiply by 256) # 窗 口 比例 
Kind: Window Scale (3) 
Length: 3 


Shift count: 8 
[Multiplier: 256] 
No-Operation (NOP) 无 操作 指令 
Type: 1 
Oe 


人 Copy on fragmentation: No 
1 


= Class: Control (0) 
-.-0 0001 = Number: No-Operation (NOP) (1) 
No-Operation (NOP) # 无 操作 指令 
Type: 1 
0... .... = Copy on fragmentation: No 
DO = CLass Control (On 
---0 0001 = Number: No-Operation (NOP) (1) 
TCP SACK Permitted Option: True #TCP SACK 允许 选项 
Kind: SACK Permission (4) 
Length: 2 


根据 以 上 信息 的 描述 ， 可 以 看 出 该 包 是 客户 端 发 送 给 服务 器 建立 连接 请 求 的 一 个 数据 
包 。 建 立 连接 的 源 端口 号 为 50096， 目 标 端口 号 为 80， 确 认 编 号 为 0。 而 且 在 标志 位 


i 
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FLAGS(0x0002) 中 ， 只 设置 了 SYN， 也 就 是 位 同步 标志 ， 表 示 请 求 建立 连接 。 选 项 是 12 
个 字 节 ， 里 面 的 内 容 有 最 大 段 (MSS) ， 大 小 为 1460 个 字 节 。 
lj 户 可 以 将 TCP 首部 中 的 每 个 字段 ， 对 应 到 TCP 首部 格式 的 每 个 字段 ， 如 表 13-2 


所 示 。 


表 13-2 第 一 次 握手 TCP 首 部 
传输 控制 协议 


2. 第 二 次 握手 
TCP 第 二 次 握手 捕获 的 数据 包 详 细 信 息 ， 如 图 13.29 所 示 。 


Ele Edt View Go Capture Anayze Statistics Telephony Took Jntemaks Hep 
oo 外 XSlAP 中 OF | 国 国 QQQm 生 四 罗 关 | 加 


Fiker: | Expression.. clear Apply Save 


Destination 


No Time Source Protocol Length Info “< 
2 0 0 “21 132. 765. 5.2 TP tt N, ACK] Seq=0 A 


66 http 


厨 » 


5 Frame 2:; 66 bytes on wire (528 bits), 66 bytes captured (528 bits) on incerface 0 
9 Ethernet II, Src: TendaTec_84:78:1e (c8:3a:35:84:78:1e), Dst: Elitegro_3f:c3:e5 (00:19:21:3f:c3:e5) 
1 Internet Protocol Version 4, Src: 221.204.186.74 (221.204.186.74), Dst: 192.168.5.2 (192.168.5.2) 


各 » 


@ | Fie: "H:\traces\tcp-handshake.... | Packets: 3 * Displayed: 3 (100.0%) * Load ... | Profie: Default 


图 13.29 第 二 次 握手 


在 该 界面 显示 了 第 二 次 握手 数据 包 的 详细 信息 。 下 面 将 对 该 包 的 字段 展开 进行 详细 介 
绍 ， 如 下 所 示 。 

Frame 2: 66 bytes on wire (528 bits), 66 bytes captured (528 bits) on interface 0 

以 上 内 容 表 示 这 是 第 2 帧 的 详细 信息 ， 并 且 该 包 的 大 小 为 66 个 字 节 。 


Ethernet II, Src: TendaTec 84:78:le (c8:3a:35:84:78:le), Dst: Elitegro 
SEsco oslo TEL9 2 CE3 RS) 


以 上 内 容 是 以 太 网 帧 头 部 的 详细 信息 。 其 中 源 MAC 地 址 为 c8:3a:35:84:78:le， 目 标 
MAC 地 址 为 00:19:21:3fic3:e5。 


Internet Protocol Version 4, Src: 221.204.186.74 (221.204.186.74), Dst: 
Ed :a 


以 上 内 容 是 IPv4 头 部 的 详细 信息 。 其 中 源 瑟 地 址 为 221.204.186.74， 目 标 卫 地 址 为 
192.168.5.2。 


和 
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Transmission Control Protocol，Src Port: http (80), Dst Port: 50096 (50096), 
Seq: 0, Ack: 1, Len: 0 


以 上 内 容 是 TCP 头 部 信息 ， 其 中 源 端 口号 为 80， 目 标 端口 号 为 50096。 


Source port: http (80) # 源 端口 号 
Destination port: 50096 (50096) # 目 标 端口 号 
[Stream index: 0] # 流 节点 号 


Sequence number: 0 (relative sequence number) # 序 列 号 
Acknowledgment number: 1 (relative ack number)  # 确 认 编 号 ， 这 里 为 1 


Header length: 32 bytes # 首 部 长 度 
Flags: 0x012 (SYN, ACK) # 标 志 位 ， 此 处 为 (SYN，ACK) 
000. .... .... = Reserved: Not set 
So ea Nonce. Not sot 
0 .... = Congestion Window Reduced (CWR): Not set 
ds 0 ee = PCM-Echos NoE set 
due ou0s se = Urgeonts NOE -Set 


= Acknowledgment: Set # 确 认 编 号 已 设置 
= Push: Not set 
="Reset: Not ‘set 
Se a ls = SY Se # 请 求 位 
[Expert Info (Chat/Sequence): Connection establish acknowledge 
(SYN+ACK) : server port http] 
[Message: Connection establish acknowledge (SYN+ACK): server 
port http] # 专 家 信息 
[Severity level: Chat] 
[Group: Sequencel] 


0 = nt sa # 完 成 位 
Window size value: 5840 # 窗 口 大 小 
[Calculated window size: 5840] # 估 计 的 窗口 大 小 
Checksum: 0x7bee [validation disabled] # 校 验 和 


[Good Checksum: False] 

[Bad Checksum: False] 
Options: (12 bytes), Maximum segment size, No-Operation (NOP), 
No-Operation (NOP), SACK permitted, No-Operation (NOP), Window scale 


# 选 项 

Maximum segment size: 1440 bytes # 最 大 段 

Kind: MSS size (2) 

Length: 4 

MSS Value: 1440 
No-Operation (NOP) # 无 操作 指令 

Type: 1 

0... .... = Copy on fragmentation: No 


a005 See = Clasass Control (0 
...0 0001 = Number: No-Operation (NOP) (1) 


No-Operation (NOP) # 无 操作 指令 
Type: 1 
0... .... = Copy on fragmentation: No 
>00 Te = Classs Control NO 
---0 0001 = Number: No-Operation (NOP) (1) 
TCP SACK Permitted Option: True #TCP SACK 允许 选项 
Kind: SACK Permission (4) 
Length: 2 
No-Operation (NOP) # 无 操作 指令 
Type: 1 
0... .... = Copy on fragmentation: No 
-00 2 = Class Control 0n 


---0 0001 = Number: No-Operation (NOP) (1) 


.254 
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Window scale: 2 (multiply by 4) 
Kind: Window Scale (3) 
Length: 3 
Shift count: 2 
[Multiplier: 4] 
[SEQ/ACK analysis] # 序 列 号 /确认 编号 分 析 
[This is an ACK to the segment in frame: 1] 
[The RTT to ACK the segment was: 0.002808000 seconds] 


以 上 描述 的 详细 信息 是 服务 器 收 到 请 求 后 ， 发 送 给 客户 端的 确认 包 (SYN+ACK) 。 
根据 以 上 的 描述 ,可 以 看 到 在 该 数据 包 中 包含 这 个 主机 初始 的 序列 号 0, 以 及 一 个 确认 号 1。 
这 个 确认 号 比 之 前 的 那个 数据 包 序列 号 大 1， 是 因为 该 域 是 用 来 表示 主机 所 期 望 得 到 的 下 


一 个 序列 号 的 值 。 将 该 首部 的 详细 信息 对 应 到 TCP 首部 格式 的 每 个 字段 ， 如 表 13-3 所 示 。 


表 13-3 第 二 次 握手 TCP 首 部 
传输 控制 协议 


1 
| | WT sw ack 


3. 第 三 次 握手 
TCP 第 三 次 握手 捕获 的 数据 包 详 细 信 息 ， 如 图 13.30 所 示 。 


tcp-handshake pcapng [Wireshark 1107 (vL107-0-g5b93lal from master-l10 ee) 
Ele Edt View Go Capture Anayze Statstics Telephony ITook kntemas Hep 

O00 外 半 包 | 外 中 国 于 入 QQQOI 本 国电 凑 | 铝 

Fiker: | 了 | Expression.. Clear Apply Save 


Destination 


1 Frame 3: 54 bytes on wire (432 bits), 54 bytes captured (432 bits) on interface 0 

9 Ethernet II, Src: Elitegro_3f:c3:e5 (00:19:21:3f:c3:e5), Dst: TendaTec_84:78:1e (cB8:3a:35:84:78:1e) 
9 Internet protocol Version 4, Src: 192.168.5.2 (192.168.5.2), Dst: 221.204.186.74 (221.204.186.74) 

H Transmission Control Protocol, Src Port: 50096 (50096), Dst Port: htrp (80), seq: 1, Ack: 1, Len: 0 
< ; 


@ | Fe: H:\traces\tcp-handshake.... Packets: 3 . Displayed: 3 (100.0%) * Load ... | Profile: Defauk 


图 13.30 第 三 次 握手 的 数据 包 


在 该 界面 显示 了 第 三 次 握手 数据 包 的 详细 信息 。 下 面 对 该 包 的 详细 信息 进行 展开 介 
绍 ， 如 下 所 示 。 

Frame 3: 54 bytes on wire (432 bits), 54 bytes captured (432 bits) on interface 0 

以 上 信息 表示 这 是 第 3 帧 数据 包 信息 ， 并 且 该 包 的 大 小 为 54 个 字 节 。 


Ethernet II, Src: Elitegro 3f:c3:e5 (00:19:21:3f:c3:6e5), Dst: TendaTec 
84:78:le (c8:3a:35:84:78:1le) 


以 上 信息 表示 这 是 以 太 网 帧 头 部 的 信息 。 其 中 ， 源 MAC 地 址 为 00:19:21:3fc3:e5， 目 
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标 MAC 地 址 为 c8:3a:35:84:78:le。 


Internet “ Protocol Version 4， Src: 192.168.5.2 (F925 16805:2). Dst: 
221.204.186.74 (221.204.186.74) 


以 上 内 容 是 IPv4 首部 的 详细 信息 。 其 中 源 人 P 地 址 为 192.168.5.2， 目 标 IP 地 址 为 
221.204.186.74。 


Transmission Control Protocol, Src Port: 50096 (50096), Dst Port: http (80), 
Seq: 1; Ack: 1, Len: 0 


以 上 内 容 是 TCP 首部 信息 。 其 中 源 端 口号 为 50096， 目标 端口 号 为 80。 下 面 对 该 头 部 
信息 展开 详细 介绍 ， 如 下 所 示 。 


Source port: 50096 (50096) # 源 端口 号 
Destination port: http (80) # 目 标 端 口号 
[Stream index: 0] # 流 节点 


Sequence number: 1 (relative sequence number) # 序 列 号 
Acknowledgment number: 1 (relative ack number)  # 确 认 编号 


Header length: 20 bytes # 首 部 长 度 
Flags: 0x010 (ACK) # 标 志 位 ， 此 处 为 ACK 
000. .... .... = Reserved: Not set 
ee 玫 全 本 = Nonce: Not set 
SR = Congestion Window Reduced (CWR) : Not set 
i = ECN-Echo: Not set 
Se = Urgent: Not set 
-.-1 .... = Acknowledgment: Set # 已 设置 确认 位 
= O00 = Pushs Not set 
0.. = Reset: Not set 
..0. = Syn: Not set 
a a a = Rn No sst 
Window size value: 67 # 窗 口 大 小 
[Calculated window size: 17152] # 估 计 的 窗口 大 小 
[Window size scaling factor: 256] # 窗 口 大 小 缩放 比例 因素 
Checksum: 0xd334 [validation disabled] # 校 验 和 


[Good Checksum: False] 
[Bad Checksum: False] 

[SEQ/ACK analysis] 

以 上 信息 就 是 客户 端 向 服务 器 发 出 的 确认 包 。 在 以 上 信息 中 , 序列 号 和 确认 号 都 为 1。 
标志 位 中 只 设置 了 ACK， 表 示 该 数据 包 是 一 个 确认 包 。 这 样 就 完成 了 TCP 连接 的 建立 阶 
段 ， 此 时 没有 options 字段 。 将 该 首部 的 详细 信息 对 应 到 TCP 首部 格式 的 每 个 字段 ， 如 表 
13-4 所 示 。 


表 13-4 第 三 次 握手 TCP 首 部 
传输 控制 协议 
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13.3.3 分析 TCP 的 四 次 断 开 

TCP 四 次 断 开 ， 也 是 TCP 协议 的 主要 工作 之 一 。 下 面 将 以 tcp-break.pcapng 捕获 文件 
为 例 ， 分 析 TCP 的 四 次 断 开 。 

1. 第 一 次 断 开 

TCP 第 一 次 断 开 连 接 的 数据 包 ， 如 图 13.31 所 示 。 


Ml tcp-break.pcapng [Wireshark 1.10.7 (v1.10.7-0-g6b931a1 from master-1.10)] [= © me 
Ee Edt Yew Go Capture Anayze Statstics Telephony Ioos Jntemak Hep 
回回 着 本 大 | 馈 多 X 包 | 六 9 中 中 于 业 | 四 加 QQ 和 QDII 醒 加 昌 其 | 加 


站 gpressor- Clear Apply Save 
INo. Time Source Destination Protocol Length Info 


| EB Frame 1: 60 bytes on wire (480 bits), 60 bytes captured (480 bits) on interface 0 
| Erherner IT，src: TendaTec_84:78:1e (Cc8:3a:35:84:78:1e), Dst: Elitegro_3f:c3:e5 (00:19:21:3f:c3:e! 
区 四 Incerner Prorocol Version 4, Src: 112.95.243. 38 (112.95.243.38), Dst: 192.168. 5.2 (192.168.5.2) 
了 
六 上 


© Y| Fame (frame), 60 bytes Packets: 4 * Dsplayed: 4 (100.0%) ~ Loa... | Profie: Defaukt 


图 13.31 第 一 次 断 开 
在 该 界面 显示 了 TCP 第 一 次 断 开 ,数据 包 的 详细 信息 。 下 面 将 分 别 对 每 行 信息 进行 详 
细 介 绍 ， 如 下 所 示 。 
Frame 1: 60 bytes on wire (480 bits), 60 bytes captured (480 bits) on interface 0 


以 上 信息 表示 这 是 第 1 个 数据 帧 的 详细 信息 ， 其 中 大 小 为 60 个 字 节 。 


Ethernet II，Src: TendaTec 84:78:1le (c8:3a:35:84:78:1e), Dst: Elitegro 3f: 
eaes (O02 EaSy 


以 上 内 容 表 示 以 太 网 帧 头 部 的 详细 信息 。 其 中 源 MAC 地 址 为 c8:3a:35:84:78:le, 目标 
MAC 地 址 为 00:19:21:3f:c3:e5。 


Internet Protocol Version 4, Src: 112.95.243.38 (112.95.243.38), Dst: 
T92160" m=20 (2 T0052) 


以 上 内 容 是 IPv4 首部 的 详细 信息 。 其 中 , 源 下 地 址 为 112.95.243.38， 目 标 卫 地 址 为 
192.168.5.2。 


Transmission Control Protocol，Src Port: http (80), Dst Port: 50098 (50098), 
Seq: 1, Ack: 17 Len: 0 


以 上 内 容 是 TCP 首部 的 详细 信息 。 其 中 ， 源 端口 号 为 80， 目 标 端口 号 为 50098。 下 面 
将 对 该 首部 内 容 进 行 详细 介绍 ， 如 下 所 示 。 


Source port: http (80) # 源 端口 号 
Destination port: 50098 (50098) ## 目 标 端口 号 
[Stream index: 0] # 流 节点 


Sequence number: 1 (relative sequence number) ## 序 列 号 
Acknowledgment number: 1 (relative ack number) # 确 认 编 号 
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Header length: 20 bytes # 首 部 长 度 

Flags: 0x011 (FIN, ACK) # 标 志 ， 这 里 为 (FIN，RCK) 
000. .... .-... = Reserved: Not set 
本 Nonce: Not set 


Congestion Window Reduced (CWR): Not set 
= ECN-Echo: Not set 

Urgent: Not set 

Acknowledgment: Set 

Push: Not set 

Reset: Not set 

Syn: Not set 


i Set # 已 设置 FIN 标志 位 
[Expert Info (Chat/Sequence) : Connection finish (FIN)] # 专 家 信息 

[Message: Connection finish (FIN)] 消息 内 容 ， 连 接 完成 (FIN) 
[Severity level: Chat] # 安 全 级 别 
[Group: Sequence] 

Window size value: 11 窗口 大 小 

[Calculated window size: 11] # 估 计 的 窗口 大 小 

[Window size scaling factor: -1 (unknown) ] # 窗 口 大 小 比例 因素 

Checksum: 0xfb4e [validation disabled] # 校 验 和 


[Good Checksum: Falsel] 
[Bad Checksum: Falsel] 
通过 以 上 信息 描述 ， 可 以 看 到 服务 端口 向 客户 端 发 送 FIN 和 ACK 标志 的 数据 包 开 始 
断 开 连 接 。 其 中 ，FIN 和 ACK 标志 位 都 为 1。 
以 上 TCP 首部 的 详细 信息 对 应 到 TCP 首部 格式 中 ， 显 示 结 果 如 表 13-5 所 示 。 


表 13-5 第 一 次 断 开 TCP 首 部 格式 
传输 控制 协议 


偏 移 位 


2. 第 二 次 断 开 
第 二 次 断 开 TCP 连接 的 数据 包 如 图 13.32 所 示 。 


tcp-break pcapng [Wireshark 1107 (v1.10.7-0-g6b931a1 from master-1.10)] emsy x ) 
Fie Edt Vew Go Capture Anayze Statetcs Telephony Toog Intemas Hep - 
O00 EXD A 中 OF QQQg| 配 国电 尖 | 加 
Fher: [=] Expression. Clear Apply Save 

INo. Time Source Destination TPR “ 


3 Frame 2: 54 bytes on wire (432 bits), 54 bytes captured (432 bits) on interface 0 

3 Etherner II, Src: Elitegro_3f:c3:e5 (00:19:21:3f:c3:e5), Dst: TendaTec_84:78:1e (c8:3a:35:84:78:14| 
D Internet Protocol Version 4, src: 192.168.5.2 (192.168.5.2), Dst: 112.95.243.38 (112.95.243.38) 

习 Transmission Control Protocol, Src Port: 50098 (50098), Dst Port: http (80), Seq: 1, Ack: 2, Len: 


@ File: "H:\traces\tcp-break.pcap... | Packets: 4 * Displayed: 4 (100.0%) * Loa... Profie: Defaut 


图 13.32 第 二 次 断 开 
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在 该 界面 显示 了 TCP 第 二 次 断 开 数 据 包 的 详细 信息 。 下 面 将 分 别 对 每 行 信息 进行 详细 
介绍 ， 如 下 所 示 。 

Frame 2: 54 bytes on wire (432 bits), 54 bytes captured (432 bits) on interface 0 

以 上 信息 表示 这 是 第 2 个 数据 帧 的 详细 信息 ， 其 中 大 小 为 54 个 字 节 。 


Ethernet II, Src: Elitegro 3f:c3:e5 (00:19:21:3f:c3:e5), Dst: TendaTec 
84:78:le (c8:3a:35:84:78:1e) 


以 上 内 容 表 示 以 太 网 帧 头 部 的 详细 信息 。 其 中 源 MAC 地 址 为 00:19:21:3fc3:e5， 目 标 
MAC 地 址 为 c8:3a:35:84:78:le。 


Internet Protocol Version 4, Src: 192.168.5.2 (192.168.5.2), Dst: 
lO OAD OL 


以 上 内 容 是 IPv4 首部 的 详细 信息 。 其 中 ， 源 人 P 地 址 为 192.168.5.2， 目 标 IP 地 址 为 
112.95.243.38。 


Transmission Control Protocol，Src Port: 50098 (50098), Dst Port: http (80) ， 

Seq: 1, Ack: 2, Len: 0 

以 上 内 容 是 TCP 首部 的 详细 信息 。 其 中 ， 源 端口 号 为 50098， 目 标 端口 号 为 80。 下 面 
将 对 该 首部 内 容 展开 详细 介绍 ， 如 下 所 示 。 


Source port: 50098 (50098) # 源 端口 
Destination port: http (80) 目标 端口 
[Stream index: 0] # 流 节点 


Sequence number: 1 (relative sequence number) # 序 列 号 
Rcknowledgment number: 2 (relative ack number)  # 确 认 号 
Header length: 20 bytes # 首 部 长 度 
Flags: 0x010 (ACK) # 标 志 
000. .... .... = Reserved: Not set 
Sa = Monce Not set 
.... 0... .... = Congestion Window Reduced (CWR): Not set 
-Os ms = ECN-Echo: Not set 
..0. .... = Urgent: Not set 
-....。....1 .... = Acknowledgment: Set 
Se Qu = NOG Se 
ea ee Oe = "Regt: Mot sat 
0 VNotE S39 
DNS soE 


Window size value: 67 # 窗 口 大 小 
[Calculated window size: 67] # 估 计 窗 口 大 小 
[Window size scaling factor: -1 (unknown) ] # 窗 口 大 小 比例 因素 
Checksum: 0xfb16 [validation disabled] # 校 验 和 


[Good Checksum: False] 
[Bad Checksum: Falsel] 
[SEQ/ACK analysis] 
This is an ACK to the segment in frame: 1 
The RIT to ACK the segment was: 0.000034000 seconds 


通过 对 以 上 信息 的 描述 ， 可 以 看 出 该 包 是 客户 端 发 送 给 服务 器 的 ACK 包 。 其 中 ， 


= 
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ACK 标志 位 为 1。 以 上 TCP 首部 的 详细 信息 对 应 到 TCP 首部 格式 中 ， 显 示 结 果 如 表 13-6 
所 示 。 


表 13-6 第 二 次 断 开 TCP 首 部 格式 


传输 控制 协议 
8 一 15 


3. 第 三 次 断 开 
第 三 次 断 开 TCP 连接 的 数据 包 如 图 13.33 所 示 。 


fl tcp-breakpcapng [Wireshark 1.10.7 (v1.107-0-g6b931al from master-1.10)] ee) 
Ele Edt View Go Capture Anayze Statistics Telephony Ioos Intermas Hep 
© 和 | 已 有 其 包 | 人 中 人 久 国 置业 QQQDI 本 加 凤 共 | 加 


Fiker | Expression.. Clear Appy Save 


INo. Time Source Destination protocol Length info 


重 
田 Frame 3: 54 bytes on wire (432 birs)，54 bytes captured (432 birs) on interface 0 
9 Ethernet II，Src: Elitegro_3f:c3:e5 (00:19:21:3f:c3:e5), Dst: TendaTec_84:78:1le (c8:3a:35:84:78:1d 
习 Internet Protocol Version 4, Src: 192.168.5.2 (192.168.5.2), Dst: 112.95.243.38 (112.95.243.38) 


© W | Fle: "Hi\taces\tcp-break.pcap... | Packets: 4 * Displayed: 4 (100.0%) * Loa... | Profie: Defauk 


图 13.33 第 三 次 断 开 


在 该 界面 显示 了 TCP 第 三 次 断 开 数据 包 的 详细 信息 。 下 面 将 分 别 对 每 行 信息 进行 详细 
介绍 ， 如 下 所 示 。 

Frame 3: 54 bytes on wire (432 bits), 54 bytes captured (432 bits) on interface 0 

以 上 信息 表示 这 是 第 3 个 数据 帧 的 详细 信息 ， 其 中 大 小 为 54 个 字 节 。 


Ethernet EE SEE: Elitegro 3f:c3:e5 O00 T9213EC3en)s Dats 
TendaTee 84=:718:1e (c8:3a:39:84:78:1e) 


以 上 内 容 表 示 以 太 网 帧 头 部 的 详细 信息 。 其 中 源 MAC 地 址 为 00:19:21:3fc3:e5, 目标 
MAC 地 址 为 c8:3a:35:84:78:le。 


Intexrnet Protocol Version 4, Sre: 192-168.5.2 “(192.168:5.2), Dsts 
T20243:30 (T11290955243338) 


以 上 内 容 是 IPv4 首部 的 详细 信息 。 其 中 ， 源 瑟 地 址 为 192.168.5.2， 目 标 卫 地 址 为 
112.95.243.38 。 

Transmission Control Protocol，Src Port: 50098 (50098), Dst Port: http (80) ， 

Seq: 1, Ack: 2，Len: 0 
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以 上 内 容 是 TCP 首部 的 详细 信息 。 其 中 ， 源 端口 号 为 50098， 目标 端口 号 为 80。 下 面 


将 对 该 首部 内 容 展开 详细 介绍 ， 如 下 所 示 。 


Source port: 50098 (50098) 
Destination port: http (80) 
[Stream index: 0] 
Sequence number: 1 (relative sequence number) 
Acknowledgment number: 2 (relative ack number) 
Header length: 20 bytes 
Flags: 0x011 (FIN, ACK) 
000. .... .... = Reserved: Not set 
el ee NotE Se 


# 源 端口 号 

# 目 标 端口 号 
# 流 节点 

# 序 列 号 

# 确 认 号 

# 首 部 长 度 

# 标 志 位 


. 0... .... = Congestion Window Reduced (CWR): Not set 


:0.. .... = ECN-Echo: Not set 
a0 aaa = Urgeont: NOoE set 
..1 .... = Acknowledgment: Set 
-0% = Push: Not set 
.0.. = Reset: Not set 
..0. = Syn: Not set 
En et 


[Expert Info (Chat/Sequence): Connection finish (FIN) ]# 专 家 信息 


[Message: Connection finish (FIN)] 
[Severity level: Chat] 
[Group: Sequence] 
Window size value: 67 
[Calculated window size: 67] 
[Window size scaling factor: -1 (unknown)] 
Checksum: 0xfb15 [validation disabled] 
[Good Checksum: False] 
[Bad Checksum: False] 


# 窗 口 大 小 

# 估 计 窗 口 大 小 

# 窗 口 大 小 比例 因素 
# 校 验 和 


通过 以 上 信息 的 描述 ， 看 以 看 出 该 包 是 客户 端 发 送 给 服务 器 的 FIN 和 ACK 包 。 其 中 


FIN 和 ACK 标志 位 都 为 1。 
以 上 TCP 首部 的 详细 信息 对 应 到 TCP 首部 格式 中 ， 


显示 结果 如 表 13-7 所 示 。 


表 13-7 第 三 次 断 开 TCP 首 部 格式 
传输 控制 协议 


4. 第 四 次 断 开 
第 四 次 断 开 TCP 连接 的 数据 包 如 图 13.34 所 示 。 
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tcp-break.pcapng [Wireshark 1.10.7 (v1.107-0-g6b931a1 from master-1.10)] ey 一 > 一 | 
Ele Edt View Go Capture Anayze Statistics Telephony IToos jntemaks Hep 
回回 看 本 大 | 巴 旬 其 他 | 信 e 宁 国定 全 QQQDOI 硬 国 昂 共 | 加 


Fiker ~| Expression.. Clear Appy Save 
No. Time Source Destination Protocol Length Info 


右 » 


田 Frame 4: 60 bytes on wire (480 bits), 60 bytes captured (480 bits) on interface 0 

3 Ethernet II, Src: TendaTec_84:78:1e (c8:3a:35:84:78:1e), Dst: Elitegro_3f:c3:e5 (00:19:21:3f:c3:el 
了 Internet protocol Version 4, Src: 112.95.243.38 (112.95.243.38), Dst: 192.168. 5.2 (192.168.5.2) 

田 Transmission Control Protocol, Src Port: http (80), Dst Port: 50098 (50098), Seq: 2, Ack: 2, Len: 
4 二 


© Fie: "H:\traces\tcp-break.pcap... | Packets: 4. Displayed: 4 (100.0%) * Loa... | Profie: Defauk 


图 13.34 第 四 次 断 开 数 据 包 
在 该 界面 显示 了 TCP 第 四 次 断 开 数 据 包 的 详细 信息 。 下面 将 分 别 对 每 行 信息 进行 详细 
介绍 ， 如 下 所 示 。 
Frame 4: 60 bytes on wire (480 bits), 60 bytes captured (480 bits) on interface 0 
以 上 信息 表示 这 是 第 4 个 数据 帧 的 详细 信息 ， 其 中 大 小 为 60 个 字 节 。 


Ethernet 有 本 SEE TendaTec 84:78:1e (CoSar35:040710:16); Dst: 
Elitegro 3f:c3:e5 (00:19:21:3f:c3:e5) 


以 上 内 容 表示 以 太 网 帧 头 部 的 详细 信息 。 其 中 源 MAC 地 址 为 c8:3a:35:84:78:le, 目标 
MAC 地 址 为 00:19:21:3f:c3:e5。 


Internet Protocol Version 4, Src: 112.95.243.38 (112.95.243.38), Dst: 
L92.168-5:2 (人 (92368522》 


以 上 内 容 是 IPv4 首部 的 详细 信息 。 其 中 ， 源 瑟 地 址 为 112.95.243.38， 目 标 卫 地 址 为 
192.168.5.2。 


Transmission Control Protocol，Src Port: http (80), Dst Port: 50098 (50098) ， 
Seq: 2, Ack: 2, Len: 0 


以 上 内 容 是 TCP 首部 的 详细 信息 。 其 中 ， 源 端口 号 为 80， 目 标 端口 号 为 50098。 下 面 
将 对 该 首部 内 容 展 开 详细 介绍 ， 如 下 所 示 。 


Source port: http (80) # 源 端口 
Destination port: 50098 (50098) 目标 端口 
[Stream index: 0] # 流 节点 
Sequence number: 2 (relative sequence number) # 序 列 号 
Acknowledgment number: 2 (relative ack number) # 确 认 号 
Header length: 20 bytes # 首 部 长 度 
Flags: 0x010 (ACK) # 标 志 


有 Reserved: Not set 

Nonce: Not set 

Congestion Window Reduced (CWR): Not set 
ECN-Echo: Not set 

Urgent: Not set 

Acknowledgment: Set # 确 认 标 志 位 已 设置 
Push: Not set 

Reset: Not set 

Syn: Not set 

Fin: Not set 


LL ll 
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Window size value: 11 # 窗 口 大 小 
[Calculated window size: 11] # 估 计 窗 口 大 小 
[Window size scaling factor: -1 (unknown)] # 窗 口 大 小 比例 因素 
Checksum: 0xfb4d [validation disabled] # 校 验 和 


[Good Checksum: Falsel] 
[Bad Checksum: Falsel] 
[SEQ/ACK analysis] 
This is an ACK to the segment in frame: 3 
The RTT to ACK the segment was: 0.056435000 seconds 


通过 以 上 信息 的 描述 ， 可 以 看 出 该 包 是 服务 器 发 送 给 客户 端的 ACK 包 。 其 中 ，ACK 
标志 位 为 1。 


以 上 TCP 首部 的 详细 信息 对 应 到 TCP 首部 格式 中 ， 显 示 结 果 如 表 13-8 所 示 。 


表 13-8 第 四 次 断 开 TCP 首 部 格式 
传输 控制 协议 


13.3.4 分析 TCP 重 置 数据 包 


前 面 介绍 TCP 重 置 时 , 发 送 的 数据 包 标 志 位 为 RST。 下 面 以 tcp.pcapng 捕获 文件 为 例 ， 
介绍 TCP 重 置 的 数据 包 。 打 开 tcp.pcang 捕获 文件 ， 如 图 13.35 所 示 。 


tcp pcapng [Wireshark 1107 (v1.107-0-96b931al from master-110)] [eel > 
Ele Edt View Go Capture Anayze Statistics Telephony Ioos Intemas Hep 
回回 着 三 逻 | 思 外 其 包公 提 字 中村 和 业 QQQ 昌 | 该 田 肯 
Fikter: [=e] ep Ceor Appy Sove 
INo. Time Source Destination Protocol Length Info < 
1 0.000000000 5. 119.188.89.220 TCP 66 50095 > http [SYN] Seq=0 1 
2 0.005465000 2 221.204.186.74 TCP 66 50096 > htrp [SYN] Seq=0% 
3 0.008273000 1 192.168.5.2 Tr 65 httP > 50096 [SYN, ACK] St 
4 0.008386000 5。 221.204.186.74 TCP 54 50096 > http [ACK] Seq=1 / 
5 0.016541000 5. 111.161.48.42 TP 66 50097 > http [SYN] Seq=0 ¥ 
| 6 0.018372000 5. 112.95.243.38 TP 665 50098 > http [SYN] Seq=0% 
7 0.019305000 5。 58.251.61.164 Tp 62 50099 > http [SYN] Seq=0% 
| 8 0.022330000 Sa 125.39.123.52 TP 66 50100 > http [SYN] Seq=0 ¥ 
| 9 0.023546000 二 125. 39.240.46 TCP 62 50101 > http [SYN] seq-oy 
| 10 0.023925000 5 125. 39.240.46 TCP 62 50102 > http [SYN] Seq=0 
| 11 0.024953000 119. 188.89.220 192.168.5.2 Tp 66 hrrp > 50095 [SYN, ACK] St 
12 0.025036000 192.168.5.2 119.188.89.220 TCP 54 50095 > hecp Do Seq=1 / 
2 weneoseoom aoy ace en ta tee en mn rm em 
| 
||® WH [Ready to iond or capture Packets: 5315 * Displayed: 5315 (100.0%) ~ M... | Profie: Defaukt 


图 13.35 ”tcp.pcapng 捕获 文件 


这 里 首先 使 用 显示 过 滤器 ， 过 滤 TCP 重 置 数据 包 。 显 示 过 滤 结果 如 图 13.36 所 示 。 

从 Wireshark 的 状态 栏 中 , 可 以 看 到 有 70 个 数据 包 匹 配 tcp.flags.reset==1 显示 过 滤器 。 
从 Wireshark 的 Packet List 列 中 ， 也 可 以 看 到 这 些 包 详细 信息 中 的 标志 位 是 [RST，ACK],， 
表示 这 些 包 都 是 TCP 重 置 数据 包 
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View Go Capture Anayze Statistics Telephony Iook 


关 关 种 | 扬 国 潜 估 | 信件 中 图 欠 生 | 


图 加 Ready to load or capture | packets: 5315 * Displayed: 70 (1.3%) * Marked: 4 (0.19%) Lo... | : 
图 13.36 ”过滤 TCP 重 置 数据 包 
下 面 来 分 析 一 下 第 564 数据 帧 ， 其 详细 内 容 如 图 13.37 所 示 。 


图 13.37 TCP 重 置 数据 包 


从 Wireshark 的 Packet Details 面板 中 ， 可 以 看 到 显示 了 第 564 数据 帧 的 详细 信息 。 下 
面 对 Packet Details 面板 中 的 每 行 信 息 进行 详细 介绍 ， 如 下 所 示 。 


Frame 564: 60 bytes on wire (480 bits), 60 bytes captured (480 bits) on 
interface 0 


以 上 信息 表示 是 第 564 数据 帧 的 详细 信息 ， 其 中 该 包 的 大 小 为 60 个 字 节 。 


Ethernet I SE TendaTec 84:78:1e (CBs3a350a T7001e) Dst: 
Blitegro 3E:c3e50 (00219321:3E:c3:68) 


以 上 内 容 表 示 以 太 网 帧 头 部 的 详细 信息 。 其 中 源 MAC 地 址 为 c8:3a:35:84:78:le, 目标 
MAC 地 址 为 00:19:21:3f:c3:e5。 


Internet Protocol Version 4, Srecs 222.732718:1398” (222.73.7182138), Dsts 
Et 


以 上 内 容 是 IPv4 首部 的 详细 信息 。 其 中 源 瑟 地 址 为 222.73.78.138， 目 标 卫 地 址 为 
192.168.5.2。 
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让 


Transmission Control Protocol，Src Port: http (80), Dst Port: 50116 (50116), 
Seq: 1, Ack: 424, Len: 0 


以 上 内 容 表 示 TCP 首部 的 详细 信息 。 其 中 源 端 口号 为 80， 目 标 端口 号 为 50116。 下 面 
将 对 该 首部 中 的 各 字段 进行 详细 介绍 ， 如 下 所 示 。 


Source port: http (80) # 源 端口 
Destination port: 50116 (50116) # 目 标 端 口 
[Stream index: 21] # 流 节点 
Sequence number: 1 (relative sequence number) # 序 列 号 
Acknowledgment number: 424 (relative ack number) # 确 认 号 
Header length: 20 bytes # 首 部 长 度 
Flags: 0x014 (RST, ACK) # 标 志 ， 此 处 是 RST，ACK 标志 位 
000 . -。。= Reserved: Not set 


Nonce: Not set 

Congestion Window Reduced (CWR): Not set 
ECN-Echo: Not set 

Urgent: Not set 


.1 .... = Acknowledgment: Set # 确 认 标志 位 已 设置 
-0s = Push: Not set 
.1.. = Reset: Set # 重 设 标志 位 已 设置 


[Expert Info (Chat/Sequence) : Connection reset (RST) ] # 专 家 信息 
[Message: Connection reset (RST) ] 
[Severity level: Chat] 
[Group: Sequence] 
..0. = Syn: Not set 
Er 
Window size value: 11 # 窗 口 大 小 


[Calculated window size: 11264] # 估 计 窗 口 大 小 
[Window size scaling factor: 1024] # 窗 口 大 小 缩放 比例 因素 
Checksum: 0xd6a9 [validation disabled] # 校 验 和 


[Good Checksum: False] 
[Bad Checksum: False] 


通过 对 以 上 各 字段 的 详细 描述 , 可 以 看 出 是 服务 器 发 送 给 客户 端的 RST 数据 包 。 以 上 
TCP 首 ww we 


表 13-9 TCP 首 部 格式 
传输 控制 协议 


ss 
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ICMP (Intermet Control Message Protocol， 网 际 报 文 控制 协议 ) 是 Intemet 协议 族 的 核 
心 协议 之 一 ， 它 主要 用 在 网 络 计算 机 的 操作 系统 中 发 送出 错 信息 。 例 如 ， 提 示 请 求 的 服务 
不 可 用 、 主 机 或 者 路 由 不 可 达 。ICMP 协议 依靠 下 协议 来 完成 其 任务 , 通常 也 是 了 P 协 议 的 
一 个 集成 部 分 。ICMP 协议 和 TCP 或 UDP 协议 的 目的 不 同 ， 它 一 般 不 用 来 在 端 系 统 之 间 
传送 数据 。 它 通常 不 被 用 户 网 络 程序 直接 使 用 ， 或 者 是 像 Ping 和 tracert 这 样 的 诊断 程序 。 
本 章 将 介绍 ICMP 协议 抓 包 分 析 。 


14.1 ICMP 协议 概述 


ICMP 协议 是 一 种 面向 无 连接 的 协议 ， 用 于 传输 出 错 报告 控制 信息 。 它 是 一 个 非常 重 
要 的 协议 ， 对 于 网 络 安全 具有 极其 重要 的 意义 。 本 节 将 介绍 ICMP 协议 概述 。 


14.1.1 什么 是 ICMP 协议 


ICMP 是 Intemet Control Message Protocol 的 缩写 。ICMP 是 (Internet Control Message 
Protocol) 互联 网 控制 报 文 协议 。 它 是 TCP/IP 协议 族 的 一 个 子 协议 ， 用 于 人 P 主机 、 路 由 
器 直接 传递 控制 消息 。 控 制 消息 是 指 网 络 通 不 通 、 主 机 是 和 否 可 达 、 路 由 是 否 可 用 等 网 络 
本 身 的 消息 。 这 些 消息 虽然 并 不 传输 用 户 数据 ， 但 是 对 于 用 户 数据 的 传递 起 着 非常 重要 的 
作用 。 


14.1.2 ”学习 ICMP 的 重要 性 


学 习 ICMP 协议 对 于 网 络 安全 具有 极其 重要 的 意义 。ICMP 协议 本 身 的 特点 决定 了 它 
非常 容易 被 用 于 攻击 网 络 上 的 路 由 器 和 主机 。 例 如 ， 用 户 可 以 利用 操作 系统 规定 的 ICMP 
数据 包 最 大 尺寸 不 超过 64KB 这 一 规定 ， 向 主机 发 起 Ping of Death (死亡 之 Ping) 攻击 。 
Ping of Death 攻击 的 原理 就 是 当 ICMP 数据 包 的 尺寸 超过 64KB 上 限时 ， 主 机 就 会 出 现 内 
存 分 配 错误 ， 导 致 TCP/IP 堆栈 崩溃 ， 致 使 主机 死机 。 

此 外 ， 向 目标 主机 长 时 间 、 连 续 、 大 量 地 发 送 ICMP 数据 包 ， 也 会 最 终 使 系统 瘫痪 。 
大 量 的 ICMP 数据 包 会 形成 “ICMP 风暴 ”， 使 得 目标 主机 耗费 大 量 的 CPU 资源 处 理 ， 疲 


于 奔 命 。 
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14.1.3 “Echo 请 求 与 响应 


ICMP 因为 其 ping 功能 而 著名 。ping 是 用 来 检测 一 个 设备 的 可 连接 性 ， 大 部 分 人 都 会 
对 ping 很 熟悉 。 在 命令 行 中 输入 ping <IP 地 址 >。 其 中 ， 将 <IP 地 址 > 替换 为 网 络 上 的 一 个 
实际 卫 地 址 ， 就 可 以 使 用 ping 了 。 如 果 目 标 设备 在 线 ， 用 户 的 计算 机 就 会 收 到 目标 主机 
的 响应 ， 并 且 没 有 防火 墙 影响 。 


基本 上 来 说 ，ping 每 次 向 一 个 设备 发 送 i 
一 个 数据 包 ， 并 等 待 回 复 ， 以 确定 设备 是 否 心 [en 心 
可 连接 ， 如 图 14.1 所 示 。 < 外 Echo Ping 响 应 <> 


图 14.1 就 是 ping 命令 的 两 步 。 当 主机 A 
癌 主 机 B 发 送 一 个 Echo Ping 请 求 包 时 , 主机 
B 就 会 向 主机 A 发 送 一 个 Echo ping 响应 包 。 图 14.1 ping 命令 


主机 A 主机 B 


14.1.4 ”路 由 跟踪 


路 由 跟踪 功能 是 用 来 识别 一 个 设备 到 另 一 个 设备 的 网 络 路 径 。 在 一 个 简单 的 网 络 上 ， 
这 个 网 络 路 径 可 能 只 经 过 一 个 路 由 器 ， 甚 至 一 个 都 不 经 过 。 但 是 在 复杂 的 网 络 中 ， 数 据 包 
可 能 会 经 过 数 十 个 路 由 器 才 会 到 达 最 终 目 的 地 。 当 通信 过 程 中 ， 出 现 故 障 时 可 能 无 法 判断 
问题 出 在 哪 ， 这 时 候 就 可 以 通过 路 由 跟踪 功能 ， 找 出 网 络 故障 的 位 置 。 


14.2 ”捕获 ICMP 协议 包 


在 Wireshark 中 ， 提 供 了 捕获 ICMP 数据 包 的 捕获 过 滤器 。 本 节 将 介绍 使 用 icmp 捕获 
过 滤器 ， 捕 获 ICMP 数据 包 。 本 例 的 实验 环境 及 Wireshark 的 位 置 如 图 14.2 所 示 。 


日 器 


IP: 192.168.5.4 


图 14.2 ”Wireshark 位 置 


在 网 络 中 典型 使 用 ICMP 协议 的 程序 就 是 ping 命令 .所 以 ,需要 选择 两 台 主机 进行 ping 
通信 。 本 例 中 ， 选 择 了 PC1 和 PC2 两 台 主 机 ， 并 且 在 PC1 上 开启 Wireshark 工具 捕获 数 


Te 
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据 包 。 
14.2.1 捕获 正常 ICMP 数据 包 


这 里 ， 先 尝试 捕获 正常 的 ICMP 数据 包 。 具 体操 作 步 又 如 下 所 示 。 

(1) 在 PCI1 主机 上 启动 Wireshark 工具 。 

(2) 在 Wireshark 主 界面 的 菜单 栏 中 依次 选择 CapturelOptions 命令 ， 或 者 单 击 工具 栏 
中 的 图 (显示 捕获 选项 ) 图 标 打开 Wireshark 捕获 选项 窗口 ， 如 图 14.3 所 示 。 


Uink-layer header Prom. Mode Snaplen [B] Buffer [MiB] Capture Fiter ~ 


enabled defaukt 2 


Display Options 
Fle: CAWiresharkVcmp.pcapnd| Update fist of packets in real time 


Use muiple bs 7 前 Waicay ae 
避 Next file every > |megabytefs) 


1 
Next file every 站 习 |minute(s) 加 Hide capture info dialog 
Ring buffer with |2 3 fles Name Resoltion 
Stop capture after [1 月 me(9 图 Resokve MAC eddresses 
© Resolve network-layer names 
3 packet{s) 
| 加 Resoke transport-layer name 
月 |megabyte( | ~ 
Use external network name resolver 


[Csr )] (cor 


3 |minute(s) 


图 14.3 捕获 选项 窗口 


(3) 在 该 界面 选择 捕获 接口 , 设置 捕获 过 滤器 及 捕获 文件 的 保存 位 置 , 如 图 14.3 所 示 。 
以 上 配置 信息 设置 完 后 ， 单 击 Start 按钮 开始 捕获 数据 ， 如 图 14.4 所 示 。 


Ele Edt Vew Go Capture Anayze Statstics Telephony Iooks Intemas Hep 
四国 厦 面 巡 | 外 驴 X 亿 六 和 中 国际 四 加 |QQQDOI 醒 加 
加 gresson- cear Apply save 
Destination Protocol Length Info 


图 14.4 ”开始 捕获 数据 包 
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(4) 出 现 如 图 14.4 所 示 的 界面 , 表示 已 经 开始 捕获 数据 包 。 在 Wireshark 的 Packet List 
面板 中 ， 现 在 还 没有 捕获 到 任何 相关 的 数据 包 。 接 下 来 ， 通 过 在 PC1 主机 上 执行 ping 命 
令 来 捕获 ICMP 数据 包 ， 如 下 所 示 。 


C:\Users\lyw>ping 192.168.5.4 
正在 Ping 192.168.5.4 具有 32 字 节 的 数据 : 
来 自 192.168.5.4 的 回复 : 字 节 =32 时 间 <lms TTL=64 
来 自 192.168.5.4 的 回复 : 字 节 =32 时 间 <lms TTL=64 
来 自 192.168.5.4 的 回复 : 字 节 =32 时 间 <lms TTL=64 
来 自 192.168.5.4 的 回复 : 字 节 =32 时 间 <lms TTL=64 
192.168.5.4 的 Ping 统计 信息 : 

数据 包 : 已 发 送 = 4， 已 接收 = 4， 丢失 = 0 (0% 丢失 )， 
往返 行程 的 估计 时 间 (以 毫秒 为 单位 ) : 

最 短 = 0ms， 最 长 = 0ms， 平 均 = 0ms 


以 上 输出 的 信息 就 是 ping 命令 运行 后 的 结果 。 在 Windows 操作 系统 中 ，ping 默认 响 
应 4 个 数据 包 。 执行 完 以 上 命令 后 ,返回 到 Wireshark 界面 ,将 看 到 如 图 14.5 所 示 的 界面 。 
Miemppcapng [Wireshark 1107 (v1.107-0-g6b931a1 from master-1.10)] [= /5 
Ee Edt Vew Go Capture Anayze Statistics Telephony Ioos Jntemas Hep 


oO0@0a#lA|SOXSIAe 人 OF |E 国 aaQAQ0 四» 


Fer [=] expression.. cear Appy Save 
INo. Time Source Destination Protocol Length Iinfo 


rep 


ICMP 74 Echo 


). 000000000 192.16 
0.000286000 192.16! 


1 8. 5.2 

2 .5.4 5.2 ping. y 

31.080563000 192.168.5.2 192.168.5.4 ICMP 74 Echo (ping) request 

4 1.080886000 192.168.5.4 192.168.5.2 ICMP 74 Echo (ping) reply 所 

5 2.080858000 192.168.5.2 192.168.5.4 ICMP 74 Echo (ping) request 

6 2.081199000 192.168.5.4 192.168. 5.2 ICMP 74 Echo (ping) reply 

7 3.090086000 192.168.5.2 192.168.5.4 ICMP 74 Echo (ping) request 

8 3.090412000 192.168.5.4 192.168.5.2 ICMP 74 Echo (ping) reply ~ 
在 


| © Fle: "H:\traces\cmp.pea... | Packets: 8 * Dsplayed: 8 (100.0%) * Load time:... | Profie: Defauk 


图 14.5 捕获 的 数据 包 


从 该 界面 可 以 很 清楚 地 看 到 ， 现 在 已 经 捕获 到 了 ICMP 协议 数据 包 。 在 Wireshark 的 
状态 栏 中 ， 可 以 看 到 共 捕 获 了 8 个 数据 包 。 这 是 因为 包括 4 个 ping 请 求 包 和 4 个 ping 响 
应 包 。 在 Windows 或 Linux 下 执行 ping 命令 后 ， 只 能 看 到 响应 的 数据 包 。 所 以 ,在 前 面 仅 
看 到 了 4 个 数据 包 。 

在 前 面 介绍 ICMP 协议 时 ， 提 到 ICMP 协议 实际 是 用 来 判断 网 络 的 连接 情况 的 ， 如 网 
络 不 通 、 目 标 主机 不 可 达 、 请 求 超时 等 。 通 过 Wireshark 都 可 以 详细 分 析 这 些 数据 包 。 图 
14.5 中 捕获 了 在 网 络 正 常 通信 情况 下 的 数据 包 。 下 面 介 绍 如 何 捕获 一 些 出 错 的 数据 包 。 


14.2.2 ”捕获 请 求 超时 的 数据 包 


当 网 络 连通 性 不 好 时 ， 执 行 ping 命令 ， 通 常会 返回 请 求 超时 的 数据 包 。 默 认 情 况 下 
ping 命令 发 出 Echo ping 请 求 后 ， 如 果 2 秒 内 没有 收 到 Echo ping 响应 的 话 ， 就 会 收 到 请 求 
超时 的 数据 包 。 下 面 演示 捕获 请 求 超时 的 数据 包 。 

(1) 启动 Wireshark 工具 。 

(2) 在 Wireshark 主 界面 的 菜单 栏 中 依次 选择 Capture|Options 命令 ， 或 者 单 击 工具 栏 
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中 的 图 (显示 捕获 选项 ) 图 标 打 开 Wireshark 捕获 选项 窗口 ， 如 图 14.6 所 示 。 


图 14.6 设置 捕获 选项 


r 
Wresharcecspureoptions | 
Capture 
| [capture Interface Link-layer header Prom. Mode Snaplen [B] Buffer [MiB] Capture Fiter ~ 
| 本 地 连接 
团 。 fs80-60e1672t14abfe48 Ethernet enabled ~ defauk 2 icemp 
19216852 司 
由 站 
I 
| @ use promiscuous mode on all interfaces 
| ee | (Cd 
Capture Fles DespBy Optons 
Fle: CA\Wireshark\icmp-timeout.pcapng| 园 Update fist of packets in real time 
© Use muliple fles 图 We pop ng fommnt Mvtometically scroll during live cepture 
Next file every 1 习 megabyte(s) 
Nent fle every 1 minute(s) [-| 加 de capture info dislog 
Ring buffer with |2 files Name Resolution 
Stop capture after |1 fle(s) 园 Resolve MAC addresses 
Stop Capture Automaticaly After... 属 Hayer names 
加 |1 习 padeetfs) 
| 3 园 Resoke transport-layer name 
[< megabyie(s) | -] 
四 [1 3 [minue  [-| 园 Use external network name resolver 


(3) 在 该 界面 设置 捕获 接口 、 捕 获 过 滤器 以 捕获 文件 。 设 置 完 后 ， 单 击 Start 按钮 开始 
捕获 数据 。 


(4) 此 时 通过 执行 tracert 命令 ， 捕 获 响应 超时 的 数据 包 。 执 行 命令 如 下 : 


C:\Users\Administrator>tracert 4.2.2.1 
通过 最 多 30 个 跃 点 跟踪 
到 a.resolvers.level3.net [4.2.2.1] 的 路 由 : 


1 <1 毫秒 <1 毫秒 <1 毫秒 Lyw [192.168.0.1] 

2 7 ms 2 ms 2 ms 1.144.184.183.adsl-pool.sx.cn [183.184.144.1] 

3- ms 3 ms 3 ms 201.124.26.218.internet.sx.cn [218.26.124.201] 

4 4 ms 3 ms 3 ms 253.151.26.218.internet.sx.cn [218.26.151.253] 

5 33 ma 32 m3 39 ms 21901582990181 

6 37 ma S36 ms 35 ms 219615B:97:106 

了 82 ms “78 ns 80 ms 219.158297.90 

8 104 m5 183 ms 191 ms 219:1582102-110 

9 197 ms 196 ms 196 ms ge-6-24.car3.SanJosel.Level3.net [4.71.112.101] 
10 204 ms 204 ms 204 ms ae-4-90.edgel.SanJosel.Level3.net [4.69.152.206] 
11 196 ms 196 ms 199 ms a.resolvers.level3.net [4.2.2.1] 
跟踪 完成 。 


执行 以 上 命令 后 ，Wireshark 将 捕获 到 相关 的 数据 包 。 在 以 上 命令 中 ，tracert 是 一 个 路 
由 跟踪 命令 。 所 以 ， 如 果 访 问 一 个 互联 网 地 址 〈4.2.2.1) ， 会 经 过 好 多 个 路 由 ， 这 时 候 也 
就 容易 产生 响应 超时 的 数据 包 。 


(5) 返回 到 Wireshark 主 界面 ， 停 止 Wireshark 捕获 数据 包 ， 将 显示 如 图 14.7 所 示 的 
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A icmp-timeoutpcapng [Wireshark 1107 (v1.10.7-0-g6b931a1 from master-1.10)] Emel 


Ele Edt View Go Capture Anayze Statistics Telephony Iook Intemas Hep 
6@ald|SOKSlIA9 人 OF | 国 @lQQAQDI 罚 国 > 


Fiker: | Expression.. Clear Apply Seve 
No. < Time Source Destination Protocol Length Info < 
1 0.000000000 192.168.0.107 4.2.2.1 ICMP 106 Echo (ping) request jl 


[EET CE CE EE CC CT 
ET CEC ECC 
EEE EC ETC 
(ER EDT EC ES CO COIN EE OE EC 


9 1.013974000 192.168.0.107 
[10 1.016537000 221.204.64.1 ”192.168.0.107 ICMP mm OTime -tolive exceeded | 

11 1.016988000 192.168.0.107 4.2.2.1 ICMP 106 Echo (ping) request i 
[12 1.019244000 a 221.204.64.1 ”192.168.0.107 ICMP 70 Time-to-jive exceeded 四 


图 14.7 捕获 的 文件 
(6) 从 Wireshark 的 Packet List 面板 中 的 Info 列 可 以 看 到 某 些 包 的 信息 为 Time-to-live 
execded 〈 超 时 ) ， 这 表示 该 包 响 应 超时 。 


14.2.3 ”捕获 目标 主机 不 可 达 的 数据 包 
当中 间 路 由 器 不 能 给 数据 包 找到 路 由 或 目的 主机 不 能 交付 数据 包 时 ， 中 间 路 由 器 或 目 


的 主机 将 会 丢弃 这 个 数据 包 。 然 后 ， 发 出 这 个 数据 包 的 源 点 发 送 目标 主 机 不 可 达 的 报 文 。 
下 面 演示 捕获 目标 主机 不 可 达 的 数据 包 。 

(1) 启动 Wireshark 工具 。 

(2) 在 Wireshark 主 界面 的 菜单 栏 中 依次 选择 CapturelOptions 命令 ， 或 者 单 击 工具 栏 
中 的 图 (显示 捕获 选项 ) 图 标 ， 打 开 Wireshark 捕获 选项 窗口 ， 如 图 14.8 所 示 。 


fl Wireshorke Copture Options [= .© 
Capture 
Capture Jnterface Link-layer header Prom. Mode Snaplen [B] Buffer [MiB] Capture Fiker = 
本 地 连接 
园 fe80-601672t14sbte49 Ethernet enabled 。 defauk 2 imp 
19216852 


Capture on all interfaces Manage Interfaces, 


可 Use promiscuous mode on al interfaces 


Gapture Fhec] liemp 了 | [Compie selected BpFs| 
Capture Fies Display Options 
Fle: | CAWireshark\iemp-unreachabl| [Browse. 司 Update list of packets in real ime 
Use multiple files | Use pcap-ng format 司 Automatically scroll during live capture 


司 Hide capture info dialog 


Name Resclution 


file(s TH] Resove MAC addresses 


Stop Capture Automaticaly After... i 


回 Resove transport-laysr name 


Use edernal network name resolver 


see Sea 


图 14.8 ”捕获 选项 
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(3) 在 该 界面 设置 捕获 接口 、 捕 获 过 滤器 以 捕获 文件 。 设 置 完 后 单 击 Start 按钮 开始 捕 


获 数据 。 


(4) 为 了 捕获 数据 包 ， 下 面 通 过 在 PC1 上 执行 ping 命令 ，ping 一 个 不 存在 的 主机 。 


这 时 候 ， 将 会 捕获 到 目标 了 


C:\Users\lyw>ping 10.10.10.100 


(5) 这 时 候 返 回 到 Wireshark 了 


界面 。 


fl icmp-unreachable pcapng [Wireshark 1.10.7 (v1.10.7-0-g6b931a1 from master-1.10)] 


E 机 不 可 达 的 数据 包 。 执 行 命令 如 下 : 


E 界 面 ， 停 止 捕 获 数据 包 ， 将 看 到 如 图 14.9 所 示 的 


2 4.946069000 
3 9.946637000 
4 14.947241000 192.168.5.2 


Ble Edt View Go Capture Anayze Statistics Telephony TIooks Intermaks Hep 

0d| 马 人 多 | 个 呈 守业 | 国 国 aaQQOl 丁 田 易 

Fikter: [| Expression Gear Apply Save 

No. Time Source Destination Protocol Length Info <^ 
1 0.000000000 192.168.5.2 10.10.10.100 ICMP 74 Echo (ping) request id=0x0001, 


192.168.5.2 
192.168.5.2 


10.10.10.100 
10.10.10.100 
10.10.10.100 


ICMP 
ICMP 


74 Echo (ping) request 
74 Echo (ping) request 
74 Echo (ping) request 


图 14.9 捕获 的 目标 主机 不 可 达 数据 包 


(6) 在 该 界面 的 Packet List 面板 中 的 Info 列 ， 可 以 看 到 $ 一 12 个 数据 帧 都 是 目标 不 可 


达 的 信息 。 


14.3 


分 析 ICMP 数据 包 


通过 前 面 对 ICMP 的 详细 介绍 ， 用 户 也 了 解 了 ICMP 协议 的 概念 及 作用 。 本 节 将 以 前 
面 捕获 的 文件 为 例 ， 分 析 ICMP 数据 包 。 


14.3.1 


ICMP 首部 


在 分 析 ICMP 数据 包 之 前 ， 首 先 介绍 下 它 的 首部 格式 ， 如 表 14-1 所 示 。 


表 14-1 ICMP 协 议 首部 格式 
ICMP 协议 
偏 移 位 0 一 15 16 一 31 
0 类 型 代码 校 验 和 
32 可 变 域 


i 
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以 上 表格 中 ICMP 首部 各 字段 含义 如 下 所 示 。 

口 类 型 (Type) : ICMP 消息 基于 RFC 规范 的 类 型 域 分 类 。 

口 代码 (Code) : ICMP 消息 基于 RFC 规范 的 子 类 型 。 

口 校 验 和 (Checksum) : 用 来 保证 ICMP 头 和 数据 在 抵达 目的 地 时 的 完整 性 。 
口 可 变 域 (Variable) : 依赖 于 类 型 和 代码 域 的 部 分 。 

在 表格 14-1 中 有 个 ICMP 类 型 字段 ， 这 里 详细 介绍 一 下 ICMP 中 可 用 的 类 型 。 


1. ICMP 请 求 报 文 类 型 


ICMP 请 求 报 文 可 用 的 类 型 如 表 14-2 所 示 。 
表 14-2 ICMP 请 求 报 文 类 型 


0 回 显 请 求 

0 路 由 器 请 求 

0 时 间 惟 请求 

0 信息 请 求 〈 废 弃 不 可 用 ) 
地 址 掩 码 请 求 


2. ICMP 响 应 报 文 类 型 


ICMP 响应 报 文 可 用 的 类 型 如 表 14-3 所 示 。 
表 14-3 ”ICMP 了 响应 报 文 类 型 


类 型 描 述 
0 回 显 响 应 
9 路 由 器 响应 
14 时 间 戳 响应 
16 信息 响应 〈 废 弃 不 可 用 ) 
18 地 址 掩 码 响 应 
3. ICMP 协 议 提供 的 诊断 报 文 类 型 
ICMP 协议 提供 的 诊断 报 文 类 型 如 表 14-4 所 示 。 
表 14-4 ICMP 协 议 提供 的 诊断 报 文 类 型 
类 型 描 述 
0 响应 应 答 (Ping 应 答 ， 与 类 型 8 的 请 求 一 起 使 用 ) 
Ee 目标 主机 不 可 达 
4 源 点 抑制 
5 重 定向 
8 响应 请 求 (Ping 请 求 ， 与 类 型 8 的 Ping 应 答 一 起 使 用 ) 
9 路 由 器 公告 (与 类 型 10 一 起 使 用 ) 
10 路 由 器 请 求 ( 与 类 型 9 一 起 使 用 ) 
11 超时 
入 参数 问题 


“有 
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14.3.2 分析 ICMP 数据 包 一 一 Echo Ping 请 求 包 


下 面 以 前 面 捕获 的 icmp.pcapng 捕获 文件 为 例 ， 分 析 ICMP 数据 包 。 打 开 icmp.pcapng 
捕获 文件 ， 如 图 14.10 所 示 。 
( @ iemppcapng Wireshark 1107 (W1107-0-96b931a1 from master-110)] esl >) 


Ele Edt Vew Go Capture Anayze Statstics Telephony IToos Intemas Hep 
外 四 着 古 大 | 巴 外 X 包 | 以 9 洛 中 守业 | 国 加 QQDI 配 国 ， 


Fiter: [<] expression.. cear Apply Save 


ping) repiy 
74 Echo (ping) request | 
74 Echo (ping) reply | 
74 Echo (ping) request | 
74 Echo (ping) reply | 
74 Echo (ping) request | 
74 Echo (ping) reply 


图 14.10 ”icmp.pcapng 捕获 文件 


在 该 文件 中 包括 8 个 数据 包 。 这 里 以 前 两 个 数据 帧 为 例 ， 分 别 分 析 Echo ping 请 求 包 
和 Echo ping 响应 包 。Echo Ping 请 求 包 如 图 14.11 所 示 。 
I icmp pcapng [Wireshark 1107 vL107-0-96b931a1 from master-1.10)] 
Fle Edt Vew Go Capture Anayze Statstics Telephony Too5 Intemas Hep 
Qe 白人 其 多 | 人 中 四 于 入 QQQDI 醒 国 赐 苏 ” 
| [=)] xpression., Clear Apply save 
Ee 


+ mo me me 


因 Frame 1: 74 bytes on wire (592 bits), 74 bytes captured (592 bits) on interface 0 
田 Ethernet II, Src: Elitegro_3f:c3:e5 (00:19:21:3f:c3:e5), Dst: Giga-Byt_eb:46:8d (50:e5:49:d| 


© | Frame (frame), 74 bytes “| Packets: 8 * Displayed: 8 (100.0%) * Load tme 0:00.000 | Profie: Defaukt 


图 14.11 Echo Ping 请 求 包 
以 上 信息 显示 了 Echo Ping 请 求 包 的 详细 信息 。 在 Wireshark 的 Packet Details 面板 中 ， 
可 以 看 到 有 4 行 信息 。 分 别 表示 数据 帧 信息 、 以 太 网 帧 头 部 信息 、IPv4 首部 信息 和 ICMP 
协议 信息 。 下 面 分 别 对 这 4 行 信息 进行 详细 介绍 ， 如 下 所 示 。 
Frame 1: 74 bytes on wire (592 bits), 74 bytes captured (592 bits) on interface 0 
以 上 信息 表示 的 是 第 1 帧 数据 包 的 信息 ， 并 且 该 包 的 大 小 为 74 个 字 节 。 


Ethernet TL SrC™ Elitegro 3f:c3:e5 O09 2 3 cae Bst 
Giga-Byt eb:46:8d (50:e5:49:eb:46:8d) 
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以 上 内 容 是 以 太 网 帧 头 部 的 详细 人 信息。 其中, 源 MAC 地 址 为 00:19:21:3fc3:e5， 目 标 
MAC 地 址 为 50:e5:49:eb:46:8d。 


Internet Protocol Version 4, Src: 192.168.5.2 (192.168.5.2), Dst: 
19201690 5 4 (L92006085 SA 


以 上 信息 是 IPv4 首部 的 详细 信息 。 其 中 ， 源 人 P 地 址 为 192.168.5.2， 目 标 IP 地 址 为 
192.168.5.4。 


Internet Control Message Protocol 


以 上 信息 是 ICMP 协议 首部 的 详细 信息 。 下 面 对 该 首部 内 容 进行 详细 介绍 , 如 下 所 示 。 


Type: 8 (Echo (ping) request) # 类 型 
Code: 0 # 代 码 
Checksum: 0x4d5a [correct] # 校 验 和 
Identifier (BE): 1 (0x0001) # 标 识 符 (BE) 
Identifier (LE): 256 (0x0100) # 标 识 符 LE) 
Sequence number (BE) : 1 (0x0001) # 序 列 号 (BE) 
Sequence number (LE): 256 (0x0100) # 序 列 号 (LE) 
[Response frame: 2] # 啊 应 帧 
Data (32 bytes) # 数 据 
Data: 6162636465666768696a6b6c6d6e6f707172737475767761... 
Length: 32 
以 上 信息 就 是 ICMP 首部 的 详细 介绍 。 从 以 上 信息 中 ， 可 以 看 到 Echo Ping 请 求 包 的 


类 型 为 8， 代码 为 0。 还 有 校 验 和 、 标 识 符 和 序列 号 信 
和 响应 包 的 。 请 求 包 和 响应 包 的 序列 号 是 相同 的 。 


息 等 。 包 中 的 序列 号 是 用 来 匹配 请 求 


全 注意 : echo 和 ping 经 常会 被 混淆 ， 但 记 住 ping 实际 上 是 一 个 工具 的 名 字 ，ping 工具 用 
于 发 送 ICMP echo 请 求 数据 包 。 


将 该 首部 中 的 每 个 字段 添加 到 ICMP 首部 ， 显 示 结 果 如 表 14-5 所 示 。 
表 14-5 ICMP 协 议 首部 格式 (1) 


ICMP 协议 
偏 移 位 0~15 16~31 
o | 8 | 0 0x4d5a 
32 省 略 


14.3.3 分 析 ICMP 数据 包 一 一 Echo Ping 响应 包 


Echo Ping 响应 包 如 图 14.12 所 示 。 
以 上 信息 显示 了 Echo Ping 响应 包 的 详细 信 县 。 在 Wireshark 的 Packet Details 面板 中 ， 
可 以 看 到 也 有 4 行 信息 。 下 面 分 别 对 这 4 行 信息 进行 详细 介绍 ， 如 下 所 示 。 


Frame 2: 74 bytes on wire (592 bits), 74 bytes captured (592 bits) on interface 0 
以 上 信息 表示 的 是 第 2 个 数据 帧 的 详细 信息 。 其 中 ， 该 包 的 大 小 为 74 个 字 节 。 


Ethernet | Se Giga-Byt eb: 46:8d (50:e5:49:eb:46:8d), Dst: 
Elitegro 3£:C3 soo (009213Ee3en) 


ss 
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多 Ele Ye 60 Casa SR Tao Ta pieras, teb 
外 加 着 本 拓 | 启 基 人 | 人 中 国 了 入 | 四 加 QQ 旬 | 本 加 遇 基 » 


四 emression- aear Appy Save 
Destination Protocol Length Info 
192. TE. 5 ICMP Fs Eche 


田 Frame 2: 74 bytes on wire (592 bits), 74 bytes captured (592 birs) on interface 0 

m Ethernet II, Src: Giga-Byt_eb:46:8d (50:e5:49:eb:46:8d), Dst: Elitegro_3f:c3:e5 (00:19:21::| 
了 Internet Protocol Version 4, Src: 192.168.5.4 (192.168.5.4), Dst: 192.168.5.2 (192.168.5.2)| 
3 Internet Control Messaqe Protocol 
4 


00 19 21 3f c3 e5 50e5 49 eb 46 8d 08 00 45 00 

00 3c ea ea 00 00 40 01 Ob 87 c0 a8 05 04 c0 a8 。 十 

05 02 00 00 55 5a 00 01 00 01 61 62 63 64 65 66 EL.. 

67 68 69 6a 5b 52 6d 6e 6f 70 N92 73 94 75 76 ghijkfan oparstov 
77 61 62 63 64 65 66 67 68 69 wabcdefg hi 


OY File: "H:\traces\icmp.pea... PC Diplyed: § (100.0%) “Loed time: 400.000 | Profile: Defauk 
图 14.12 Echo Ping 响应 包 
以 上 信息 是 以 太 网 帧 头 部 的 信息 。 其中, 源 MAC 地 址 为 50:e5:49:eb:46:8d, 目标 MAC 
地 址 为 00:19:21:3f:c3:e5。 


Internet Protocol Version 4, Src: 192.168.5.4 (192.168.5.4), Dst: 
T922168.5.2 (192-168.5:2) 


以 上 内 容 是 IPv4 首部 的 详细 信息 。 其 中 ， 源 人 P 地 址 为 192.168.5.4， 目 标 IP 地 址 为 
192.168.5.2。 
Internet Control Message Protocol 


以 上 信息 是 ICMP 首部 的 详细 信息 。 下 面 对 该 首部 中 的 各 字段 进行 详细 介绍 ， 如 下 
所 示 。 


Type: 0 (Echo (ping) reply) # 类 型 
Code: 0 # 代 码 
Checksum: 0x555a [correct] ## 校 验 和 
Identifier (BE): 1 (0x0001) # 标 识 符 (BE) 
Identifier (LE): 256 (0x0100) # 标 识 符 (LE) 
Sequence number (BE): 1 (0x0001) # 序 列 号 (BE) 
Sequence number (LE) : 256 (0x0100) # 序 列 号 (LE) 
[Request frame: 1] # 请 求 帧 
[Response time: 0.286 ms] # 响 应 时 间 


Data (32 bytes) 
Data: 6162636465666768696a6b6c6d6e6f707172737475767761... 
Length: 32 
从 以 上 信息 可 以 看 到 该 包 的 类 型 为 0， 代 码 也 为 0， 这 表示 该 包 是 一 个 Echo 响应 包 。 
在 该 数据 包 中 的 序列 号 和 第 一 个 数据 包 的 序列 号 是 相同 的 ， 说 明 这 个 数据 包 是 响应 第 一 个 
包 的 echo 请 求 的 。 
将 该 首部 中 的 每 个 字段 添加 到 ICMP 首部 ， 显 示 结 果 如 表 14-6 所 示 。 


表 14-6 ICMP 协 议 首部 格式 〈2) 
ICMP 协议 
偏 移 位 0~15 16~31 
0 0 0 Ox555a 


“276° 
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14.3.4 分析 ICMP 数据 包 一 一 请 求 超时 数据 包 


下 面 以 前 面 捕获 的 icmp-timeout.pcapng 捕获 文件 为 例 ， 分 析 请 求 超时 的 数据 包 。 打 开 
icmp-timeout.pcapng 捕获 文件 ， 将 显示 如 图 14.13 所 示 的 界面 。 


fl icmp-timeout.pcapng [Wireshark 1.10.7 (v1.10.7-0-g6b931al from master-1.10)] 
Ele Edt Vew Go Capture Anayze Statstics Telephony Toos jntemas Hep 
OA| 马 凑 包 | 人 9 中 国定 和 业 | 贺 晶 QQQ| 丁 国 > 


esl) 


Fikter: ~] Expression.. Clear Apply Save 
No. < Time Source Destination Protocol Length lnfo <^ 
ICMP 106 Echo (ping) request ji 


wm 


1 0.000000000 192.168.0.107 4.2.2.1 
[12 1.019244000 221.204.64.1 wl92.168.0.107 ICMP /0 Tine-to- iive exceeded 国 


» 


© | Ready to load or capture | Packets: 66 * Displayed: 66 (100.0%) * Dropped: ... | profie: Defauk 


图 14.13 ”icmp-timeout.pcapng 捕获 文件 


在 icmp-timeout.pcapng 捕获 文件 中 ，2、4、6 等 数据 包 都 是 响应 超时 的 数据 包 。 这 里 
以 第 2 帧 为 例 ， 分 析 该 数据 包 中 的 相应 信息 ， 如 图 14.14 所 示 。 


icmp-timeout.pcapng [Wireshark 1.10.7 (v1.10.7-0-g6b931a1 from master-1.10)] 
Fle Edt Vew Go Capture Anayze Statstics Telephony Toog Intemas Heb 
日 @@ 大 本 厦 | 巴 外 其 人 | 人间 字 吴军 业 QQQ 吕 1 本 加 
Fiher | Expression Clear Apply Save 
No. < Ti Sou Destination Protocol Length Info 


E=28EO) 


© Frame (frame), 134 bytes | Packets: 66 * Displayed: 66 (100.0%) * Dropped: ... | Profie: Defauk 


图 14.14 ”请求 超时 的 数据 包 


从 该 界面 可 以 看 到 25 帧 的 详细 信息 ,如 包 的 大 小 、 以 太 网 首部 信息 和 了 P 首部 信息 等 。 
下 面 对 该 包 中 的 详细 信息 依次 进行 介绍 。 

Frame 2: 134 bytes on wire (1072 bits), 134 bytes captured (1072 bits) on 

interface 0 


以 上 信息 表示 ， 这 是 第 2 帧 的 详细 信息 ， 并 且 该 包 的 大 小 为 134 个 字 节 。 


Ethernet EL re Tp-LinkT f9:3c:c0 (6Cse8T3sEt923c2C0) Dests= 
Giga-Byt c8:4c:89 LEE 6SCSsea89) 


sa 
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以 上 信息 是 以 太 网 帧 首部 的 详细 信息 。 其 中 源 MAC 地 址 为 6c:e8:73: 色 :3c:c0， 目 标 
MAC 地 址 为 1c:6f:65:c8:4c:89。 


Internet Protocol Version 4, Src: 192.168.0.1 (192.168.0.1), Dst: 
D9216800LO07 (L192 L000 07) 


以 上 信息 是 IPv4 首部 的 详细 信息 。 其 中 ， 源 瑟 地 址 为 192.168.0.1， 目 标 卫 地 址 为 
192.168.0.107。 


Internet Control Message Protocol 


以 上 信息 是 ICMP 首部 的 详细 信息 。 下 面 对 该 首部 信息 进行 详细 介绍 ， 如 下 所 示 。 


Internet Control Message Protocol #ICMP 协议 

Type: 11 (Time-to-live exceeded) # 类 型 

Code: 0 (Time to live exceeded in transit) # 代 码 

Checksum: 0xf4ff [correct] # 校 验 和 

Internet Protocol Version 4, Src: 192.168.0.107 (192.168.0.107), Dst: 

a 2 2 (4 2 2 #IPv4 首部 信息 
Version: 4 #IP 协议 版 本 
Header length: 20 bytes # 首 部 长 度 
Differentiated Services Field: 0x00 (DSCP 0x00: Default; ECN: 0x00: 
Not-ECT (Not ECN-Capable Transport)) 服务 标识 符 

0000 00.. = Differentiated Services Codepoint: Default (0x00) 


"2278s 


.... ..00 = Explicit Congestion Notification: Not-ECT (Not 
ECN-Capable Transport) (0x00) 


Total Length: 92 # 总 长 度 
Identification: 0xled7 (7895) # 标 识 符 
Flags: 0x00 标志 
0 = Reserved bit: Not set 
Be = Don't fragment: Not set 
..0. .... = More fragments: Not set 
Fragment offset: 0 # 分 片 偏 移 
Time to live: 1 # 生 存 期 


[Expert Info (Note/Sequence): "Time To Live" only 1] 
[Message: "Time To Live" only 1] 
[Severity level: Note] 
[Group: Sequence] 
Protocol: ICMP (1) # 协 议 为 ICMP 
Header checksum: 0xd3b4 [validation disabled]  # 首 部 校 验 和 
[Good: False] 
[Bad: False] 


Source: 192.168.0.107 (192.168.0.107) # 源 IP 地 址 

Destination: 4.2.2.1 (4.2.2.1) # 目 标 IP 地 址 

[Source GeoIP: Unknown] # 源 IP 地 址 地 理 位 置 

[Destination GeoIP: Unknown] # 目 标 IP 地 址 地 理 位 置 
Internet Control Message Protocol #ICMP 协议 

Type: 8 (Echo (ping) request) # 类 型 

Code: 0 井 代 码 

Checksum: 0xf774 # 校 验 和 

Identifier (BE): 1 (0x0001) # 标 识 符 〈BE) 

Identifier (LE) : 256 (0x0100) # 标 识 符 LE》 

Sequence number (BE): 138 (0x008a) # 序 列 号 (BE) 

Sequence number (LE): 35328 (0x8a00) # 序 列 号 (LE) 

Data (64 bytes) # 数 据 


Data: 000000000000000000000000000000000000000000000000..- 
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Length: 64 


# 数 据 报 的 大 小 为 64 个 字 节 
通过 对 以 上 信息 的 详细 介绍 ， 可 以 看 到 该 包 的 类 型 为 11， 代 码 为 0。 这 表示 该 数据 
是 一 个 请 求 超时 的 数据 包 。 在 以 上 信息 中 ， 用 户 可 能 都 发 现 这 个 数据 包 的 TTL 值 为 1， 
就 意味 着 这 个 数据 包 会 在 它 遇 到 的 第 一 个 路 由 器 处 被 丢掉 。 这 就 是 因 
与 4.2.2.1 通信 ， 之 间 会 经 过 好 多 个 路 由 器 〈 至 少 会 


包 


局 


已 


为 主机 192.168.0.107 
一 个 ) ， 所 有 这 个 数据 包 将 不 会 到 达 
目的 地 。 由 此 ， 就 可 以 判断 出 该 网 络 的 连接 情况 ， 并 简单 地 画 出 网 络 结构 。 


14.3.5 分析 ICMP 数据 包 一 一 目标 主机 不 可 达 的 数据 包 


下 面 以 icmp-unreachable pcapng 捕获 文件 为 例 ， 分 析 目 标 主 机 不 可 达 的 包 详 细 信息 。 
打开 icmp-unreachable .pcapng 捕获 文件 ， 如 图 14.15 所 示 。 


cmp-unreachable pcapng [Wireshark 1107 (v110.7-0-96b931al from master-110)] [局 
Ee Edt Vew Go Capture Anayze Statstics Telephony Toos Jntemak Hep 

© 人 SA99 人 OF QQQD| 久 国明» 
Fiher: 口 


INo. Time 


Source 


[= ] xpression.. Clear App 


Destination Protocol Length Info 


图 14.15 icmp-unreachable .pcapng 捕获 文件 


该 包 中 捕获 到 了 数据 不 可 达 的 数据 包 , 下 面 通过 分 析 该 数据 包 的 详细 信息 , 了 解 ICMP 
包 的 类 型 、 代 码 等 。 这 里 分 析 第 5 帧 详细 信息 ， 如 图 14.16 所 示 。 


icmp-unreachable pcapng [Wireshark 1.10.7 (vL10.7-0-g6b931al from master-1.10)] 


ET 
[Ele Edt Vew Go Captue Anayze Sbtstcs Telephony Toos Intemas Hep 一 一 
dO 和 关 生 | 怕人 多 A 中 OF 


国 男 Ee 


Expression.. Clear Apply Save 
Source Destination Protocol Length 
000 132.168.5.1 197.168.5 ICMP 7 


Frame 5: 70 bytes on wire (560 bits), 70 bytes captured (560 bits) on interface 0 
Ethernet 1I, Src: TendaTec_84:78:1e (c8:3a:35:84:78:1e), Dst: Giga-Byt_eb:46:8d (50:e5:4| 
田 Internet Protocol Version 4, Src: 192.168.5.1 (192.168.5.1), Dst: 192.168.5.4 (192.168. 5| 


I Frame (frame), 70 bytes | Packets: 35* Displayed: 35 (100... 


Profie: Defaukt 


图 14.16 目标 主机 不 可 达 的 数据 包 


从 该 界面 可 以 看 到 ， 该 数据 包 也 包括 4 行 详细 信息 。 下 面 依 次 进行 详细 介绍 ， 如 下 
所 示 。 


Frame 5: 70 bytes on wire (560 bits), 70 bytes captured (560 bits) on interface 0 


"2s 
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以 上 信息 表示 这 是 第 5 帧 的 详细 信息 ， 并 且 该 包 的 大 小 为 70 个 字 节 。 


Ethernet 9 SEC TendaTec 84:78:1e (c8:3a:35:84:78:1e), Dst: 
Giga-Byt eb:46:8d (50:e5:49:eb:46:8d) 


以 上 内 容 是 以 太 网 帧 头 部 的 详细 信息 。 其 中 源 MAC 地 址 为 c8:3a:35:84:78:le， 目 标 
MAC 地 址 为 50:e5:49:eb:46:8d。 


Internet “ Protocol Version 4， Src: 192.168.5.1 (192.168.5.1), Dst: 
192-.168°5 -4°(192°168.5-4) 


以 上 信息 是 IPv4 首部 的 详细 信息 。 其 中 源 下 地 址 为 192.168.5.1 (路 由 器 )， 目 标 人 P 
地 址 为 192.168.5.4。 


Internet Control Message Protocol 


以 上 内 容 是 ICMP 协议 的 详细 信息 。 下 面 对 该 协议 进行 详细 介绍 ， 如 下 所 示 。 


Type: 3 (Destination unreachable) # 类 型 
Code: 1 (Host unreachable) # 代 码 
Checksum: 0x6bf8 [correct] # 校 验 和 


Internet Protocol Version 4, Src: 192.168.5.4 (192.168.5.4), Dst: 
L320 S30 LO0 UIT 2405 S9190) 


Version: 4 #IP 协议 版 本 
Header length: 20 bytes # 首 部 长 度 
Differentiated Services Field: 0x00 (DSCP 0x00: Default; ECN: 0x00: 
Not-ECT (Not ECN-Capable Transport) ) # 服 务 标识 符 

0000 00.. = Differentiated Services Codepoint: Default (0x00) 


.... ..00 = Explicit Congestion Notification: Not-ECT (Not 
ECN-Capable Transport) (0x00) 


Total Length: 52 # 总 长 度 
Identification: 0xc6c2 (50882) 标识 符 
Flags: 0x02 (Don't Fragment) # 标 志 

Oss = Reserved bit: Not set 

vr = Don't fragment: Set 

..0. .... = More fragments: Not set 
Fragment offset: 0 # 分 片 偏 移 
Time to live: 63 # 生 存 期 
Protocol: TCP (6) # 协 议 


Header checksum: 0xd9a0 [validation disabled]  # 首 部 校 验 和 
[Good: False] 
[Bad: False] 
Source: 192.168.5.4 (192.168.5.4) # 源 IP 地 址 
Destination: 173.246.39.190 (173.246.39.190) # 目 标 IP 地址 
[Source GeoIP: Unknown] 
[Destination GeoIP: Unknown] 
Transmission Control Protocol, Src Port: 40079 (40079), Dst Port: http 


(80) 
Source port: 40079 (40079) # 源 端口 号 为 40079 
Destination port: http (80) # 目 标 端口 号 为 80 
Sequence number: 99085887 # 序 列 号 


根据 以 上 信息 的 描述 ,可 以 看 到 该 包 中 ICMP 协议 的 类 型 为 3， 代码 为 1。 这 表示 该 包 
是 一 个 目标 主机 不 可 达 的 数据 包 。 
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DHCP (Dynamic Host Configuration Procotol， 动 态 主 机 配置 协议 ) 是 一 个 局 域 网 的 网 
络 协议 ， 主 要 用 于 给 内 部 网 络 或 网 络 服务 供应 商 自 动 分 配 卫 地址 DHCP 协议 是 一 个 应 用 
层 协议 ， 能 够 让 设备 自动 获取 人 P 地 址 以 及 其 他 重要 网 络 资源 ， 如 DNS 服务 器 和 路 由 网 关 
地 址 等 。 本 章 将 详细 分 析 DHCP 数据 包 。 


15.1 DHCP 概述 


DHCP 的 前 身 是 BOOTP, 属于 TCP/IP 的 应 用 层 协 议 ,。 DHCP 网 络 配置 方面 非常 重要 ， 
特别 是 一 个 网 络 的 规模 较 大 时 ， 使 用 DHCP 可 极 大 地 减轻 网 络 管理 员 的 工作 量 。 另 外 ， 对 
于 移动 PC〈 如 笔记 本 、 平 板 等 ) ， 由 于 使 用 的 环境 经 常 变动 ， 所 处 网 络 的 IP 地 址 也 就 可 
能 需要 经 常 变动 。 若 每 次 都 需要 手工 修改 它们 的 他 地 址 ， 使 用 起 来 非常 麻烦 。 这 时 候 ， 就 
可 以 使 用 DHCP 来 减轻 负担 。 本 节 将 介绍 DHCP 的 相关 信息 ， 如 它 的 作用 、 工 作 流 程 和 报 


文 结构 等 。 
15.1.1 什么 是 DHCP 


DHCP (Dynamic Host Configuration Procotol， 动 态 主 机 配置 协议 ) 是 一 个 局 域 网 的 网 
络 协议 ,使 用 UDP 协议 工作 。DHCP 有 3 个 端口 ， 其 中 UDP67 和 UDP68 为 正常 的 DHCP 
服务 端口 ， 分 别 作为 DHCP Server 和 DHCP Client 的 服务 端口 ，546 号 端口 用 于 DHCPv6 
Client， 而 不 用 于 DHCPv4， 是 为 DHCP failover 服务 。 该 服务 是 需要 特别 开启 的 服务 ， 用 
来 做 双 机 热 备 的 。 


15.1.2 DHCP 的 作用 


DHCP (动态 主机 配置 协议 ) 为 互联 网 上 主机 提供 地 址 和 配置 参数 。DHCP 是 基于 
Client/Server 工作 模式 ，DHCP 服务 为 主机 分 配 卫 地 址 和 提供 主机 配置 参数 。DHCP 主要 
作用 如 下 所 示 。 

(1) 保证 任何 下 地址 在 同一 时 刻 只 能 由 一 台 DHCP 客户 机 所 使 用 。 

(2) DHCP 可 以 给 用 户 分 配 永久 固定 的 他 地址 。 

(3) DHCP 允许 用 其 他 方法 获得 卫 地 址 的 主机 共存 ， 如 手动 配置 IP 地 址 的 主机 。 

(4) DHCP 服务 器 向 现 有 的 BOOTP 客户 端 提供 服务 。 

DHCP 有 3 种 分 配 瑟 地 址 方式 , 分 别 是 自动 分 配 、 动 态 分 配 和 手工 配置 。 它 们 的 区 别 
如 下 所 示 。 


第 2 篇 网 络 协议 分 析 篇 


口 自动 分 配 (Automatic Allocation) : DHCP 给 客户 端 分 配 永久 性 的 他 地 址 。 

口 动态 分 配 (Dynamic Allocation) : DHCP 给 客户 端 分 配 的 了 P 地 址 过 一 段 时 间 后 会 
过 期 ， 或 者 客户 端 可 以 主动 释放 该 地 址 。 

口 手动 配置 (Manual Allocation) : 由 用 户 手动 为 客户 端 指定 卫 地 址 。 


15.1.3 ”DHCP 工作 流程 


使 用 DHCP 时 ， 在 网 络 上 首先 必须 有 一 台 DHCP 服务 器 ， 而 其 他 计算 机 则 是 DHCP 
客户 端 。 当 DHCP 客户 端 程序 发 出 一 个 信息 ， 要 求 一 个 动态 IP 地 址 时 ，DHCP 服务 器 将 根 
据 目 前 配置 的 瑟 地 址 池 ， 从 中 提供 一 个 可 供 使 用 的 IP 地 址 和 子 网 掩 码 给 客户 端 。 下 面 将 
介绍 DHCP 的 工作 流程 。 

DHCP 工作 流程 如 图 15.1 所 示 。 


1.DHCP Discover 
| 2. DHCP Offer 
| 一 一 一 一 一 
3.DHCP Request 
& S 一 一 一 


4.DHCP Ack 
客户 端 服务 器 
图 15.1 DHCP 工作 流程 

从 图 15.1 中 ， 可 以 看 到 DHCP 工作 过 程 分 为 4 个 阶段 。 分 别 表示 发 现 阶段 (DHCP 
Discover)、 提 供 阶 段 (DHCP Offer)、 选择 阶 段 (DHCP Request) 和 确认 阶段 (DHCP Ack ) 。 
下 面 分 别 详细 介绍 这 4 个 阶段 ， 如 下 所 示 : 

(1) 发 现 阶段 ， 即 DHCP 客户 端 寻找 DHCP 服务 器 的 阶段 。DHCP 客户 端 以 广播 方式 
(因为 客户 端 不 知道 DHCP 服务 器 的 他 地 址 ) 发 送 DHCP Discover 包 , 来 寻找 DHCP 服务 
器 ， 即 向 地 址 255.255.255.255 发 送 特 定 的 广播 信息 。 网 络 上 每 一 台 安 装 了 TCP/IP 协议 的 
主机 都 会 接收 到 该 广播 信息 ， 但 只 有 DHCP 服务 器 才 会 做 出 响应 ， 如 图 15.2 所 示 。 


服务 器 


图 15.2 DHCP Discover 包 
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该 图 表示 本 局 域 网 中 有 3 台 DHCP 服务 器 ,都 收 到 了 客户 端 发 送 的 DHCP Discover 包 、。 
接 下 来 就 是 服务 器 响应 客户 端 了 ， 即 提供 阶段 。 

(2) 提供 阶段 ， 即 DHCP 服务 器 提供 IP 地 址 的 阶段 。 在 网 络 中 接收 到 DHCP Discover 
包 的 DHCP 服务 器 ， 都 会 做 出 响应 。 这 些 DHCP 服务 器 从 尚未 出 租 的 卫 地 址 中 挑选 一 
个 给 客户 端 ， 向 客户 端 发 送 一 个 包含 人 P 地 址 和 其 他 设置 的 DHCP Offer 包 ， 如 图 15.3 
所 示 。 

这 时 候 ， 局 域 网 中 的 3 台 DHCP 服务 器 都 向 客户 端 发 送 了 DHCP Offer 包 。 但 是 客户 
端 只 能 接受 一 个 服务 器 提供 的 信息 ， 所 以 需要 选择 要 接收 的 数据 包 信息 。 

(3) 选择 阶段 , 即 DHCP 客户 机 选择 某 台 DHCP 服务 器 提供 的 他 地址 阶段 。 从 图 15.3 
中 ， 可 以 看 到 3 台 DHCP 服务 器 都 向 客户 端 发 送 了 DHCP Offer 包 。 此 时 ，DHCP 客户 机 
只 接受 第 一 个 收 到 的 DHCP Offer 包 信 息 。 然 后， 以 广播 方式 回答 一 个 DHCP Request 请 求 
信息 ， 该 信息 中 包含 向 它 所 选 定 的 DHCP 服务 器 请 求 IP 地 址 的 内 容 。 这 里 使 用 广播 方式 
回答 ， 就 是 通知 所 有 DHCP 服务 器 ， 它 选择 了 某 台 DHCP 服务 器 所 提供 的 IP 地 址 ， 如 图 
15.4 所 示 。 


服务 器 


图 15.3 DHCP Offer 包 图 15.4 DHCP Request 包 


这 时 候 ， 局 域 网 中 所 有 的 DHCP 服务 器 都 会 收 到 客户 端 发 送 的 DHCP Request 信息 。 
通过 查看 包 信息 ， 可 以 确定 客户 端 是 否 选 择 了 自己 提供 的 他 地址 。 如 果 选 择 的 是 自己 的 
则 会 发 送 一 个 确认 包 。 否 则 ， 不 进行 响应 。 

(4) 确认 阶段 ， 即 DHCP 服务 器 确认 所 提供 的 IP 地 址 阶段 。 当 DHCP 服务 器 收 到 客 
户 端 发 送 的 DHCP Request 请 求 信息 之 后 ， 便 向 DHCP 客户 端 发 送 一 个 包含 它 所 提供 的 下 
地 址 和 其 他 设置 的 DHCP Ack 信息 ， 告 诉 DHCP 客户 端 可 以 使 用 它 所 提供 的 卫 地 ， 如 图 
15.5 所 示 。 然 后 DHCP 客户 端 将 其 TCP/IP 协议 与 网 卡 绑 定 。 另 外 ， 除 客户 端 选择 的 DHCP 
服务 器 外 ， 其 他 DHCP 服务 器 都 将 收回 曾 提供 的 他 地址 。 
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<> ee 


图 15.5 DHCPAck 包 


从 图 15.5 中 ， 可 以 看 到 只 有 一 台 DHCP 向 客户 端 发 送 了 DHCP Ack 包 。 表 示 客 户 端 
选择 了 该 服务 器 提供 的 IP 地 址 及 其 他 配置 信息 。 


15.2 DHCP 数据 抓 包 


上 一 节 简 单 地 介绍 了 DHCP 的 作用 和 工作 流程 等 。 本 节 将 通过 使 用 Wireshark 工具 ， 
捕获 DHCP 数据 包 并 进行 详细 分 析 。 在 捕获 数据 包 之 前 ， 需 要 先 确定 Wireshark 的 位 置 。 
然后 再 通过 过 滤器 对 捕获 的 包 进 行 过 滤 ， 以 方便 进行 分 析 。 


15.2.1 Wireshark 位 置 


在 抓 取 数据 包 之 前 ， 首 先 固定 Wireshark 的 位 置 是 非常 重要 的 。 如 果 Wireshark 的 位 置 
不 当 ， 可 能 导致 捕获 不 到 数据 包 或 者 抓 起 一 些 无 用 的 包 。 这 里 以 一 个 简单 的 网 络 环境 ， 来 
捕获 DHCP 包 ， 如 图 15.6 所 示 。 

从 该 图 中 , 可 以 看 到 只 有 一 个 路 由 器 和 一 台 PC(Windows 7) 。 
现在 的 路 由 器 都 自 带 了 DHCP 功能 ， 所 以 可 以 通过 直接 连接 路 由 
器 来 获取 DHCP 包 。 这 样 在 PC 上 开启 Wireshark， 然 后 通过 重新 
启动 网 卡 即 可 捕获 DHCP 包 。 


15.2.2 ”使 用 捕获 过 滤器 


为 了 避免 产生 大 量 无 用 的 数据 包 影响 对 包 的 分 析 ， 在 捕获 前 
需要 指定 一 个 捕获 过 滤器 。 前 面 介绍 了 DHCP 是 使 用 UDP 协议 工 
作 的 ， 这 里 就 可 以 指定 UDP 协议 捕获 过 滤器 来 捕获 包 。 具 体操 作 
步骤 如 下 所 示 。 

(1) 启动 Wireshark。 成 功 启动 后 ， 显 示 界 面 如 图 15.7 所 示 。 图 156 Wireshark 的 位 轩 
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{The Wireshark Network Analyzer [Wireshark 1107 (v110.7-0-g6b9311 from master110) [eer 
Ble Edt Vew Go Capture Anaye Statstcs Telephony Ioog Jntemag Heb 
回 @ RA 人 XS A QQQ 回 | 入 回 加 关 | 加 


Fer | 加 gpresson- cear Apply Save 


i The World's Most Popular Network Protocol Analyzer 
WIRESHARK vesoi 107 
ES 
Interface List [= Open 全 Websi 
© Uve lst of the capture interfaces (Open a previously captured fie Vet the pr 
{counts ncomng packets) 
Open Recent: User's 
面 hast C\Wreshark\1111.pcapng (2468 kB) 加 The Uer's, 
rsdn pm trom tan Sort cilWreshark\dhcp.pcapng (17 kB) Bou 
[EE 昌国 Sample Captures ed 
多 VMware Network Adapter VMnetl A rech sortment of eampe capture fies en the ni 


ER VMware Network Adanter VMnetR 


Capture Options 


Saart 3 capture wth detnind cptiors 


Ready to load or capture | No Packets 


15.7 ”Wireshark 启动 界面 


(2) 在 该 界面 的 菜单 栏 中 依次 选择 CapturelOptions 命令 ， 或 者 单 击 工具 栏 中 的 图 ( 显 
示 捕 获 选项 ) 图 标 打 开 Wireshark 捕获 选项 窗口 ， 如 图 15.8 所 示 。 


Wiresharic Capture Options eey™=>™)| 
Capture 
(Capture Interface Unk-layer header Prom. Mode Snaplen [B] Buffer [MiB] Capture Fiker ~ 
本 地 连接 
fa80-60e1572t14abfe48 Ethernet enabled 。 defauk 2 
19216852 
VMware Network Adapter V. 
同 。 ws0-7d9xle14228182ae Ethernet enabled default 2 


© Capture on all interfaces Manage Interfaces 
WD Use promiscuous mode on all interfaces 


Capture Fles Daspby Options 
File: (CAWiresharidhep.pcapng| 园 Update list of packets in real time 


Use muliple fles @ Autometically scroll during live capture 

回 Neafle every 

口 Nea file every be optere mo aerog 

口 Ring buffer with Name Resouton 

Dstwopcaptureafer [1 Bfie(s) 回 Resolve MAC addresses 

Stop Capture Automaticaly After... ee | 


加 Resolve transport-layer name 


lminutels) | ~ 园 Use edernal network name resolver 


ep 


图 15.8 捕获 选项 窗口 
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(3) 在 该 界面 选择 捕获 接口 , 输入 捕获 过 滤器 及 捕获 文件 的 保存 位 置 , 如 图 15.8 所 示 。 
以 上 信息 配置 完 后 ， 单 击 Start 按钮 ， 将 显示 如 图 15.9 所 示 的 界面 。 
J 肥 Capturing fom 本 地 连接 (udp) [Wireshark 1107 (v1.10.7-0-g6b931a1 from master-1.10)] 
Fle Edt Vew Go Capture Anayze Statstics Telephony Toos Intemas He 
日 固着 面 如 | 巴 攻 X 人 | 以 9 中 四 守业 和 QQ 上 回 | 硬 国 > 


Fa [=] Expression.. aear Appy Save 
No Time Se Destination Protocol Length Info 


5 二 1 148 Source port: 49152 
2 0.01527500 111.161. 56.27 192.168. 5.2 UDP 260 Source port: irdm 


le 人 林地 连接 : <ive capture in progress> Fie: ..，| Packets: 2 *... | Profile: Defaut 


图 15.9 开始 捕获 数据 包 


(4) 从 该 界面 可 以 看 到 ，Protocol 列 为 UDP 协议 ， 这 表明 捕获 的 是 UDP 协议 的 包 。 
有 些 程序 的 协议 名 不 是 UDP， 但 是 是 通过 UDP 协议 工作 的 。 例 如 ，DHCP 是 使 用 UDP 协 
议 工 作 的 , 但 是 它 的 协议 名 称 为 DHCP。 如 果 当 前 系统 中 运行 有 很 多 UDP 协议 程序 ， 将 都 
会 捕获 到 。 

(5) 现在 需要 通过 重新 获取 地 址 信息 ， 来 产生 DHCP 数据 包 。 因 为 DHCP 只 有 当主 机 
的 了 P 地 址 过 期 或 重新 启动 系统 时 ， 才 会 重新 请 求 获取 人 P 地 址 。 否 则 ， 不 可 能 产生 DHCP 
数据 包 。 这 里 可 以 通过 重新 启动 网 卡 的 方法 ， 来 捕获 DHCP 包 。 根 据 操作 系统 的 不 同 ， 重 
新 启动 网 卡 的 方法 也 不 同 。 如 下 所 示 。 


1. 在 Windows 下 重新 启动 网 卡 


本 例 中 以 Windows 7 为 例 ,使 用 ipconfig 命 令 来 捕获 DHCP 包 ,首先 使 用 ifconfig/release 
命令 释放 当前 使 用 的 地 址 信息 ， 执 行 命令 如 下 : 
C:\Users\Administrator>ipconfig/release # 释 放 当 前 的 地 址 信息 


执行 以 上 命令 后 ， 将 释放 当前 使 用 的 地 址 信息 。 
重新 获取 地 址 信息 ， 执 行 命令 如 下 : 
C:\Users\Administrator>ipconfig/renew # 重 新 获取 地 址 信息 


执行 以 上 命令 后 ， 将 重新 获取 地 址 信息 。 在 获取 地 址 时 ， 将 会 经 过 DHCP 的 4 个 阶段 
的 。 这 样 ，Wireshark 也 就 能 够 捕获 到 相关 的 DHCP 包 了 。 
用 户 也 可 以 手动 地 通过 禁用 /启用 网 卡 来 捕获 DHCP 包 。 在 Windows 7 操作 系统 桌面 
上 ， 右 击 “ 网 络 ”|“ 属 性 ”打开 网 络 和 共享 中 心 ， 如 图 15.10 所 示 。 

在 该 界面 选择 “更 改 适 配器 设置 ”选项 ， 打 开 如 图 15.11 所 示 的 界面 。 

在 该 界面 可 以 看 到 有 4 块 网 卡 。 选 择 右 击 捕获 的 接口 〈 本 例 中 是 “本 地 连接 ”) ， 将 
弹出 如 图 15.12 所 示 的 界面 。 在 该 界面 选择 “禁用 ”选项 ， 禁 用 后 再 次 右 击 该 接口 ， 将 显 
示 如 图 15.13 所 示 的 界面 。 
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VMware Network Adapter 
VMnet8 
7 志 RB 的 网 洛 < RS 的 网 阁 


My 本 地 连接 [0 本 地 连接 2 
网 络 网 络 2 
< Reahek RTL8139/810x Family F. BF Reakek pcle GBE Family Contr.. 


VMnetl 


15.11 网 络 连接 


坚 禁用 (8) 
状态 (U) 加 启用 A) 
bi 状态 (U) 
加 村 (GO) 论断 0 
创建 快 理 方式 (S) 创建 快 皇 方 式 (S) 
出 除 (D) 本 ”型 除 (D) 
全 ”重合 名 (M) 全 ”重合 名 (M) 
时 尾 性 (R) 国 必 ER) 
图 15.12 禁用 网 络 接口 图 15.13 启用 网 络 接口 


执行 完 以 上 操作 后 , Wireshark 即 可 捕获 到 DHCP 数据 包 。 用 户 也 可 以 在 CMD 命令 行 ， 
使 用 ipconfig 命令 重新 获取 地 址 信息 ， 以 产生 DHCP 数据 包 。 


2. 在 Linux 下 重新 获取 地 址 信息 
在 Linux 下 ， 可 以 通过 使 用 ifdown 和 ifup 命令 来 重新 启动 网 卡 。 执 行 命令 如 下 : 


root@localhost: ~# ifdown eth0 # 禁 用 网 卡 
root@localhost: 一 # ifup eth0 # 启 用 网 卡 
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执行 以 上 操作 后 ，Wireshark 将 会 捕获 到 DHCP 包 。 此 时 ， 单 击 画 〈 停 止 捕获 ) 图 标 停 
止 捕获 数据 。 捕 获 到 的 所 有 数据 包 如 图 15.14 所 示 。 


| dhcp.pcapng [wireshark1107 (v1107-0-g6b931alfrom master110] [ee 
| Eee Edt View Go Capture Anayze Statistics Telephony Ioos Intemas Hep 


doll|lXSlAe 人 OT 加 aaQam| 田 昌 关 | 加 


[=] spresson- Caar APY Save 
No. Time Source Destination Protocol Length Info 


148 Source port 2 ”Destinal 
UDP 260 Source port: irdmi Destinat 
$2 255 Domain/workgroup Announcemer 
2 .168.5. 342 DHCP Release - Transaction 
5.2 
5.1 


2 0.01527500 111.161. 56.27 
3 19. 3764350 192.168. 
4 34.1105270192.168. 
34.1496820 192.168, 
68. 


73 Standard query Oxd631 A is: 
,1712330 192.1 


34， .168.5. 148 Standard query response Oxdt 
34.4823280 fe80:: 3 2: 92 standard query Ox44ff ANY'Y 
34.5194570 fe80: :60e1:672f:14aff02: 
34. 
34, 


了 : 84 Standard query Oxcda2 A wpi 
.5800110 fe80: :60el1:672f:14aff02: 92 standard query 0x44ff ANY 
.6269350 fe80:: 3 3 


: 84 Standard query Oxcda2 A wpi 
11 37.4233560 fe80:: | :14aff 84 Standard query 0xa06f A wpi 
12 37.5334910 fe80:: 3 3 


上 


图 15.14 捕获 到 的 所 有 UDP 包 


从 该 界面 可 以 看 到 捕获 到 的 UDP 协议 包 有 很 多 。 如 果 要 详细 地 分 析 DHCP 包 ， 还 需 
要 对 捕获 到 的 包 进 一 步 地 过 滤 。 通 过 过 滤 ， 便 可 查看 到 所 有 的 DHCP 包 。 


全 注意 : 当 使 用 Wireshark 捕获 数据 包 时 ， 茜 用 网 卡 后 Wireshark 将 无 法 捕获 数据 包 。 这 
时 候 就 需要 在 启动 网 卡 后 ， 马 上 启动 Wireshark 工具 捕获 数据 才 可 以 捕获 到 所 有 
DHCP 包 。 否则 ， 可 能 不 能 捕获 到 整个 过 程 的 包 ， 或 者 一 个 包 也 捕获 不 到 。 但 是 
在 Windows 下 执行 ipconfig/release 命令 , 是 不 会 影响 捕获 数据 包 的 。 为 了 避免 捕 
获 不 到 数据 包 ， 用 户 可 以 借助 集线器 来 捕获 数据 包 。 


使 用 集线器 捕获 数据 包 ， 配 置 环境 如 图 15.15 所 示 。 


2 
WIRESHARK | 


图 15.15 使 用 集线器 捕获 DHCP 包 
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从 图 15.15 可 以 看 到 , 在 该 环境 中 使 用 集线器 连接 了 两 台 PC。 这 时 候 可 以 在 任何 一 台 
PC 上 捕获 DHCP 数据 包 。 如 在 PC1 上 启动 Wireshark 捕获 数据 包 ， 这 时 候 ， 就 需要 在 PC2 
上 重新 启动 网 卡 以 便 捕获 数据 包 。 具 体 捕获 包 和 重新 启动 网 卡 的 方法 与 前 面 介绍 的 方法 一 
样 ， 这 里 就 不 再 歼 述 。 


15.2.3 过滤 显示 DHCP 


在 上 一 小 节 介 绍 使 用 捕获 过 滤器 ， 捕 获 到 了 所 有 UDP 数据 包 。 为 了 不 受 大 量 无 用 的 
信息 影响 ， 接 下 来 使 用 显示 过 滤器 ， 仅 过 滤 出 DHCP 数据 包 。 
(1) 使 用 Wireshark 打开 捕获 文件 dhcp.pcapng。 


Ee Edt Yew Go Capture Anae Statevcs Taephony Toos Intemaks Heb | 
oO@RNd|EOXSA oFT| 国 国 QaQQDl 四 > 


15.16 过 滤 DHCP 包 


外 注意 : 这 里 使 用 的 显示 过 滤器 是 bootp， 不 是 dhcp。 


(3) 输入 显示 过 滤器 后 ， 单 击 右 侧 的 Apply 按钮 ， 将 显示 如 图 15.17 所 示 的 界面 。 


医 Edt View 0 Cpture AnaWe Statetcs cs Telephony Ioog jntemas Hep 
9@ 大 大 大 | 巴 旬 X 多 | 丸 提 和 四 了 和 | 辐 加 el 本 回电 关 | 区 
pr 


Source Destination Info | 
4 34.1105270192.168.5.2 192.168.5.1 342 DHCP Release - Transaction ID Oxblaf56a 
13 38.7858920 0.0.0.0 255.255.255.255 342 DHCP Discover - Transaction ID Oxf86fe053 
14 39.2966820192.168.5.1 255.255.255.255 590 DHCP offer -~ Transaction ID 0xf86fe053 
15 39.2973100 0.0.0.0 255.255.255.255 362 DHCP Request - Transaction ID 0xf86fe053 
16 39.3062120 192.168.5.1 255.255.255.255 590 DHCP ACK - Transaction ID Oxf86fe053 
57 42.8986710 192.168.5.2 255.255.255.255 342 DHCP Inform - Transaction ID Ox6e46afc 


58 42. 9034220 192.168. 5.1 192.168.5.2 590 DHCP ACK - Transaction ID Ox6e46afc 
4 各 


| Fle: "C:\Users\Administrator\De... | packets: 114 * Dspbyed: 7 (6.1%) * Load time: 0:00.015 | Profile: Defauk 


图 15.17 过 滤 到 的 数据 包 


(4) 从 该 界面 的 Protocol 列 可 以 看 到 ， 所 有 的 数据 包 都 是 DHCP 包 。 从 Wireshark 的 
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状态 栏 中 ， 可 以 看 到 有 7 个 包 匹 配 该 显示 过 滤器 。 在 Packet List 面板 的 Info 列 ， 可 以 了 解 
包 信 息 ， 如 DHCP Release、DHCP Discover、DHCP Offer、DHCP Request、DHCP ACK 和 
DHCP Inform 包 。 其 中 ， 第 13 一 16 的 数据 包 就 是 DHCP 工作 的 4 个 阶段 。 第 4 个 数据 包 
是 执行 ipconfig/release 命令 释放 当前 地 址 信息 的 数据 包 。57 表示 向 服务 器 请 求 更 详细 的 配 
置信 息 ; 58 是 路 由 器 (192.168.5.1) 发 送 给 客户 端 (192.168.5.2) 的 确认 信息 。 
在 前 面 介绍 到 DHCP 使 用 端口 67 和 68 来 工作 , 所 以 用 户 也 可 以 使 用 基于 端口 的 显示 
过 滤器 过 滤 DHCP 包 ， 如 图 15.18 所 示 。 


Ee Edt Vew Go Capture Anayze Statstcs Telephony Ioos Jntemas Hep 
则 加 厦大 区 | 蕊 外 其 包 | 信 刘 中国 开业 | 四 加 QDII 可 回电 区 | 吕 
Expression.. Clear Apply Save 


13 38.78589200.0.0.0 
14 39.2966820 192.168.5.1 
15 39.2973100 0.0.0.0 
16 39.3062120 192.168.5.1 
57 42. 8986710192.168. 5.2 
58 42. 9034220 192.168.5.1 


192.168. 5.1 
255.255.255.255 
255.255.255.255 


342 DHCP Db Seover - ansaet on iD 0 


590 DHCP offer 


255.255.255.255 
255.255.255.255 
255.255.255.255 
192.168.5.2 

Ty 


362 DHCP Request 
590 DHCP ACK 
342 DHCP Inform 
590 DHCP ACK 


- Transaction ID oxfa6fe053 
~ Transacrion ID Oxf86fe053 
- Transaction ID Oxf86fe053 
- Transaction ID Ox6e46afc 
- Transaction ID Ox6e46afc 
， 


[Profie: Defauk 


Packets: 114* Depgyed: 7 (6. 7 (1%) Load tme: 0:00.000 


© WH [Fes “CUsersAdrmnetaton De 


图 15.18 ”基于 端口 过 滤 的 DHCP 包 


从 该 界面 显示 的 结果 ， 可 以 看 到 与 图 15.17 过 滤 到 的 数据 包 相同 。 

如 果 用 户 在 后 面 还 需要 分 析 这 几 个 包 ， 可 以 将 它们 导出 到 一 个 文件 中 。 下 次 分 析 时 ， 
就 不 需要 再 使 用 显示 过 滤器 过 滤 后 ， 才 可 能 获取 到 自己 需要 的 数据 包 。 下 面 介绍 将 这 几 个 
数据 包 导 出 的 方法 ， 有 具体 操作 步骤 如 下 所 示 。 

(1) 在 图 15.18 所 示 的 菜单 栏 中 ， 依 次 选择 File|Export Specified Packets 命令 ， 打 开 如 
图 15.19 所 示 的 界面 。 


(Wehr pont Specfied pockets > > ls 
| 保存 在 :家 Wireshwrk ~ @8- 
| 最 近 访 问 的 (2 年 i 
| 一 
| 点 面 
| 库 
计算 机 
多 文件 名 中 dhep-port. pcspng - 保存 G) 
RE 了 消 |] 
才 助 00 
Packet Range 和 
区 ® 加 Compress wth gzp 
© Mpackets 14 2 
© Selected packet 1 
Maked packets 
Frst to last marked 
Re 0 
Remove lonored packets 
E 


图 15.19 保存 导出 的 包 
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(2) 在 该 界面 设置 将 要 导出 包 的 位 置 及 文件 名 ， 这 里 将 导出 的 包 保存 到 桌面 上 的 
Wireshark 目录 中 ， 其 文件 名 为 dhcp-port.pcapng。 然 后 单 击 “保存 ”按钮 ， 返 回 到 图 15.18 
所 示 的 界面 。 

(3) 现在 到 Wireshark 目录 中 ， 将 会 看 到 有 一 个 名 为 dhcp-port.pcapng 的 文件 。 此 时 打 
开 访 文件， 显示 界面 如 图 15.20 所 示 。 


硬 dhcp-portpcapng [Wireshark 1.10.7 (v1.10.7-0-g6b931a1 from master-1.10)] 
Ele Edt Vew Go Capture Anayze Statstics Telephony IToos jntemak Hep ] 
a@ld| 包 人 多 | 人 "人 中国 于 和 业 | 回 国 QQQa 醒 加 加 芝 | 名 | 


C—O 


Fiter: [=] expression.. aear app 
je. Ta Source Dectination ee length lnfo 
2 cB LEECH 0 0.0 EE 255. EE 255 2 322 [7 rr -~ Transaction ID Oxf86fe053 
3 5.18615500 192.168.5.1 255.255.255.255 DHCP 590 DHCP offer - Transaction ID 0xf86fe053 
4 5.18678300 0.0.0.0 255.255.255.255 DHCP 362 DHCP Request - Transaction ID Oxf86fe053 
5 5.19568500 192.168.5.1 255.255.255.255 DHCP 590 DHCP ACK - Transaction ID Oxf86fe053 
6 8.78814400 192.168.5.2 255.255.255.255 DHCP 342 DHCP Inform - Transaction ID Ox6e46afc 
7 8.79289500 192.168.5.1 192.168.5.2 DHCP 590 DHCP ACK - Transaction ID Ox6e46afc 
4 = i; 
© | Fle: “C:\Users\Administrator\De... | Packets: 7 * Displayed: 7 (100.0%) * Load time: 0:00.109 Profie: Defauk | 
> - | 


图 15.20 导出 的 数据 包 


(4) 从 该 界面 可 以 看 到 ， 将 导出 的 数据 包 重 新 进行 了 排序 。 这 样 用 户 分 析 时 ， 就 不 会 
受 其 他 的 数据 包 影 响 了 。 


15.3 ”DHCP 数据 包 分 析 


在 上 一 节 介 绍 了 捕获 数据 包 ， 并 经 过 过 滤 显 示 ， 将 要 分 析 的 数据 包 导 入 到 
dhcp-port.pcapng 捕获 文件 中 。 本 节 将 通过 直接 打开 dhcp-portpcapng 捕获 文件 ， 对 DHCP 
数据 包 进行 详细 分 析 。 


15.3.1 DHCP 报 文 格式 


在 DHCP 获取 卫 地 址 及 其 他 网 络 配置 参数 的 过 程 中 ,DHCP 客户 端 和 服务 器 之 间 要 交 
换 很 多 的 消息 报 文 ， 这 些 DHCP 报 文 总 共 8 种 类 型 。 每 种 报 文 的 格式 相同 ， 只 是 某 些 字段 
的 取 值 不 同 。DHCP 报 文 的 格式 如 表 15-1 所 示 ， 每 一 个 字段 名 的 含义 如 下 所 示 。 


表 15-1 DHCP 报 文 格式 
op (1) htype (1) hlen (1) hops (1) 
xid (4) 
secs (2) flags (2) 
ciaddr (4) 
yiaddr (4) 
sidaddr (4) 
gidaddr (4) 
chaddr (16) 
sname (64) 
file (128) 
options (variable) 
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OODOo 


DOO 


[加 贿 加 晤 加 状 丰 关 加 着 四 着 四 贿 加 | 


op: 报 文 的 操作 类 型 。 分 为 请 求 报 文 和 响应 报 文 ，1 为 请 求 报 文 ，2 为 响应 报 文 。 
具体 的 报 文 类 型 在 option 字段 中 标识 。 

htype: DHCP 客户 端的 硬件 地 址 类 型 。1 表示 ethemet 地 址 。 

hlen: DHCP 客户 端的 硬件 地 址 长 度 。ethemet 地 址 为 6。 

hops: DHCP 报 文 经 过 的 DHCP 中 继 的 数目 。 初 始 为 0， 报 文 每 经 过 一 个 DHCP 
中 继 ， 该 字段 就 会 增加 1。 

xid: 客户 端 发 起 一 次 请 求 时 选择 的 随机 数 ， 用 来 标识 一 次 地 址 请 求 过 程 。 

secs: DHCP 客户 端 开始 DHCP 请 求 后 所 经 过 的 时 间 。 目 前 尚未 使 用 ， 固 定 取 0。 
flags: DHCP 服务 器 响应 报 文 是 采用 单 播 还 是 广播 方式 发 送 。 只 使 用 第 0 比特 位 ， 
0 表示 采用 单 播 方式 ，1 表示 采用 广播 方式 ， 其 余 比特 保留 不 用 。 

ciaddr: DHCP 客户 端的 全 地址 。 

yiaddr: DHCP 服务 器 分 配给 客户 端的 他 地 址 。 

siaddr: DHCP 客户 端 获取 了 PP 地 址 等 信息 的 服务 器 IP 地 址 。 

giaddr: DHCP 客户 端 发 出 请 求 报 文 后 经 过 的 第 一 个 DHCP 中 继 的 卫 地 址 。 
chaddr: DHCP 客户 端的 硬件 地 址 。 

sname: DHCP 客户 端 获取 IP 地 址 等 信息 的 服务 器 名 称 。 

file: DHCP 服务 器 为 DHCP 客户 端 指定 的 启动 配置 文件 名 称 及 路 径 信息 。 

option: 可 选 变 长 选项 字段 ， 包 含 报 文 的 类 型 、 有 效 租 期 、DNS 服务 器 的 卫 地 址 
和 WINS 服务 器 的 IP 地 址 等 配置 信息 。 


在 表 15-1 所 示 的 DHCP 报 文 格式 中 ， 每 一 个 字段 后 的 数字 表示 该 字段 在 报 文中 占用 
的 字 节 数 。 


全 注 意 : Options 字段 的 长 度 要 根据 服务 器 所 提供 参数 的 多 少 而 定 ， 是 可 变 的 。 


15.3.2 DHCP 报 文 类 型 


DHCP 有 8 种 类 型 的 报 文 ， 每 种 报 文 的 格式 相同 ， 只 是 报 文 中 的 某 些 字 段 取 值 不 同 。 
DHCP 报 文 类 型 ， 如 表 15-2 所 示 。 


DHCP 报 文 类 型 


DHC?P Discover 


表 15-2 DHCP 报 文 类 型 
描 述 
DHCP 客户 端 请 求 地 址 时 ， 并 不 知道 DHCP 服务 器 的 位 置 ， 因 此 DHCP 客户 端 会 
在 本 地 网 络 内 以 广播 方式 发 送 请 求 报 文 。 这 个 报 文 称 为 Discover 报 文 , 目的 是 发 现 
网 络 中 的 DHCP 服务 器 。 所 有 收 到 Discover 报 文 的 DHCP 服务 器 都 会 发 送 回应 报 
文 ，DHCP 客户 端 据 此 可 以 知道 网 络 中 存在 的 DHCP 服务 器 的 位 置 


DHCP Offer 


DHCP 服务 器 收 到 Discover 报 文 后 ， 就 会 在 所 配置 的 地 址 池 中 查找 一 个 合适 的 中 
地 址 ， 加 上 相应 的 租约 期 限 和 其 他 配置 信息 (如 网 关 、DNS 服务 器 等 ) ， 构 造 一 
个 Offer 报 文 ， 发 送 给 用 户 ， 告 知 用 户 本 服务 器 可 以 为 其 提供 人 P 地 址 (只 是 告诉 
client 可 以 提供 ， 是 预 分 配 ， 还 需要 client 通过 ARP 检测 该 他 是 否 重复 ) 


DHCP Request 


“2 


DHCP 客户 端 可 能 会 收 到 很 多 Offer, 所 以 必须 在 这 些 回应 中 选择 一 个 。Client 通常 
选择 第 一 个 回应 Offer 报 文 的 服务 器 作为 自己 的 目标 服务 器 ， 并 回应 一 个 广播 
Request 报 文 ， 通 告 选 择 的 服务 器 。DHCP 客户 端 成 功 获取 下 地 址 后 ， 在 地 址 使 用 
租 期 过 去 1/2 时 ， 会 向 DHCP 服务 器 发 送 单 播 Request 报 文 续 延 租 期 ， 如 果 没 有 收 
到 DHCP ACK 报 文 ， 在 租 期 过 去 3/4 时 ， 发 送 广播 Request 报 文 续 延 租 期 
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DHCP 报 文 类 型 描 述 


DHCP 服务 器 收 到 Request 报 文 后 ,根据 Request 报 文中 携带 的 用 户 MAC 来 查找 有 
没有 相应 的 租约 记录 ， 如 果 有 则 发 送 ACK 报 文 作为 回应 ， 通 知 用 户 可 以 使 用 分 配 
的 中 地 址 


DHCP ACK 


如 果 DHCP 服务 器 收 到 Request 报 文 后 , 没有 发 现 有 相应 的 租约 记录 或 者 由 于 某 些 
原因 无 法 正常 分 配 他 地 址 , 则 发 送 NAK 报 文 作为 回应 , 通知 用 户 无 法 分 配合 适 的 
卫 地 址 
当 用 户 不 再 需要 使 用 分 配 他 地 址 时 ， 就 会 主动 向 DHCP 服务 器 发 送 Release 报 文 ， 
告知 服务 器 用 户 不 再 需要 分 配 人 P 地 址 ，DHCP 服务 器 会 释放 被 绑 定 的 租约 

DHCP 客户 端 收 到 DHCP 服务 器 回应 的 ACK 报 文 后 ， 通 过 地 址 冲突 检测 发 现 服务 
器 分 配 的 地 址 冲突 或 者 由 于 其 他 原因 导致 不 能 使 用 ， 则 发 送 Decline 报 文 ， 通 知 服 
务 器 所 分 配 的 也 地 址 不 可 用 


DHCP NAK 


DHCP Release 


DHCP Decline 


DHCP 客户 端 如 果 需 要 从 DHCP 服务 器 端 获取 更 为 详细 的 配置 信息 , 则 发 送 Inform 
报 文 向 服务 器 进行 请 求 ， 服 务 器 收 到 该 报 文 后 ， 将 根据 租约 进行 查找 ， 找 到 相应 的 
配置 信息 后 ， 发 送 ACK 报 文 回应 DHCP 客户 端 〈 很 少 用 到 ) 


DHCP Inform 


15.3.3 ”发 现 数据 包 


发 现 数据 包 是 dhcp-portpcapng 文件 中 的 第 2 帧 ， 如 图 15.21 所 示 。 


A dhcp-portpcapng [Wireshark 1107 (v1.10.7-0-g6b931a1 from master-1.10)] [=1 9 
Fle Edt Vew Go Capture Anayze Statistics Telephony Iook jnternas Hep 
a0 由 XO A 中 OF QQQDI 苹 加 网 关 | 世 


Fiker: ~ 


Expression.. Clear Apply Save 
No, Source Destination protocol Length lnfo 
< (3090( 0.0.0 CII IN INL) HP 342 DHC 


D Frame 2: 342 bytes on wire (2736 bits), 342 bytes captured (2736 bits) on interface 0 

I Ethernet II, Src: Elitegro_3f:c3:e5 (00:19:21:3f:c3:e5), Dst: Broadcast (ff:ff:ff:ff:ff:ff) 
DH Internet Protocol Version 4, Src: 0.0.0.0 (0.0.0.0), Dst: 255.255.255.255 (255.255.255.255) 
I User Datagram Protocol, Src Port: bootpc (68), Dst Port: bootps (67) 

DH Bootstrap Protocol 


图 15.21 DHCP Discover 包 


从 该 界面 的 Packet Details 列表 中 ,可 以 看 到 关于 DHCP Discover 包 的 详细 信息 有 5 行 。 
下 面 依次 进行 分 析 。 


Frame 2: 342 bytes on wire (2736 bits), 342 bytes captured (2736 bits) on 
interface 0 


该 行内 容 表 示 第 2 帧 的 详细 信息 。 其 中 ， 该 帧 的 大 小 为 342 个 字 节 ，2736 位 。 

Ethernet II, Src: Elitegro 3f:c3:e5 (00:19:21:3f:c3:e5), Dst: Broadcast 

(ELSEES EF: EE "EF:EE) 

该 行内 容 表 示 数 据 链 路 层 以 太 网 帧 头 部 信息 。 从 中 可 以 看 到 ， 该 数据 包 的 源 地 址 为 
00:19:21:3fc3:e5 《客户 端 ) ， 目 标 地 址 为 储 住 任 任 住 任 (广播 地 址 ) 。 这 里 的 目标 地 址 为 
广播 地 址 ， 是 为 了 确保 将 该 包 发 送 到 网 络 上 的 每 台 设 备 。 因 为 ， 该 客户 端 不 知道 DHCP 服 
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务 器 的 地 址 ， 所 以 第 一 个 数据 包 是 为 了 寻找 正在 监听 的 DHCP 服务 器 。 

Internet Protocol Version 4, Src: 0.0.0.0 (0.0.0.0), Dst: 255.255.255.255 

M235 2550259 2559) 

该 行内 容 表 示 互 联网 层 IPv4 包头 部 信息 。 其 中 ， 源 他 地 址 为 0.0.0.0 (客户 端 )， 目 
标 IP 地址 为 255.255.255.255。 这 里 的 客户 端 地 址 为 0.0.0.0， 是 因为 它 目前 还 没有 下 地址。 
255.255.255.255 是 一 个 独立 于 网 络 的 广播 地 址 ， 所 以 目标 地 址 为 255.255.255.255。 


User Datagram Protocol, Src Port: bootpc (68), Dst Port: bootps (67) 


该 行内 容 表 示 传 输 层 的 数据 段 头 部 信息 ， 此 处 使 用 的 是 UDP 协议 。 其 中 ， 源 端口 为 
68〈 客 户 端 ) ， 目 标 端口 为 67〈 服 务 器 ) 。 


Bootstrap Protocol 


该 行内 容 表 示 应 用 层 BOOTP 协议 的 详细 信息 。 由 于 Wireshak 在 处 理 DHCP 时 , 使 用 
的 是 BOOTP 协 议 。 所 以 ,在 Packet Details 面板 中 看 到 的 是 Bootstrap Protocol, 而 不 是 DHCP。 
该 行 信息 中 的 内 容 是 DHCP 包 中 最 重要 的 信息 ， 所 以 下 面 将 详细 介绍 该 包 中 展开 的 每 行 信 
息 。 展 开 的 详细 信息 如 下 所 示 。 

Bootstrap Protocol 


Message type: Boot Request (1) 
#DHCP 消息 类 型 。 这 是 一 个 请 求 包 , 所 以 该 选项 的 值 为 1 


Hardware type: Ethernet (0x01) # 硬 件 类 型 为 Ethernet 
Hardware address length: 6 # 硬 件 地 址 长 度 为 6 
Hops: 0 # 经 过 DHCP 中 继 数 为 0 
Transaction ID: 0xf86fe053 # 事 务 ID 为 0xf86fe053 
Seconds elapsed: 0 # 客 户 端 启动 时 间 
Bootp flags: 0x8000 (Broadcast) #BOOTP 标志 字段 
人 = Broadcast flag: Broadcast 
.000 0000 0000 0000 = Reserved flags: 0x0000 
Client IP address: 0.0.0.0 (0.0.0.0) # 客 户 端 IP 地 址 
Your (client) IP address: 0.0.0.0 (0.0.0.0) # 自 己 的 (客户 端 》 IP 地 址 
Next server IP address: 0.0.0.0 (0.0.0.0) # 下 一 阶段 使 用 的 DHCP 
服务 器 的 IP 地 址 
Relay agent IP address: 0.0.0.0 (0.0.0.0) #DHCP 中 继 器 的 IP 地 址 
Client MAC address: Elitegro 3f:c3:e5 (00:19:21:3f:c3:e5) 
# 客 户 端的 MAC 地 址 
Client hardware address padding: 00000000000000000000# 客 户 端 硬 件 地 址 填充 
Server host name not given # 服 务 器 主机 名 
Boot file name not given # 启 动 文件 名 
Magic cookie: DHCP # 与 BOOTP 兼容 
Option: (53) DHCP Message Type #DHCP 消息 类 型 为 53 
Length: 1 # 长 度 值 为 1 
DHCP: Discover (1) # 发 现 包 
Option: (61) Client identifier # 客 户 端 标 识 符 
Length: 7 # 长 度 为 7 
Hardware type: Ethernet (0x01) # 硬 件 类 型 为 Ethernet 
Client MACG adaresss Elitegro 3f:c3:65 (00:19:21:3f:c3:es) 
# 客 户 端 MAC 地 址 
Option: (50) Requested IP Address # 请 求 IP 地 址 
Length: 4 ## 长 度 为 4 


. 294 + 


第 15 章 DHCP 数据 抓 包 分 析 


Requested IP Address: 192.168.5.2 (192.168.5.2) # 请 求 的 IP 地 址 


Option: (12) Host Name # 客 户 端 主机 名 
Length: 12 # 长 度 为 12 
Host Name: Windows7Test # 主 机 名 为 WindowsTest 
Option: (60) Vendor class identifier # 供 应 商 类 标识 符 
Length: 8 # 长 度 为 8 
Vendor class identifier: MSFT 5.0 # 供 应 商标 识 符 为 MAFT 5.0 
Option: (55) Parameter Request List # 参 数 请 求 列表 
Length: 12 # 长 度 为 12 
Parameter Request List Item: (1) Subnet Mask # 子 网 掩 码 
Parameter Request List Item: (15) Domain Name # 域 名 
Parameter Request List Item: (3) Router # 路 由 
Parameter Request List Item: (6) Domain Name Server # 域 名 服务 


Parameter Request List Item: (44) NetBIOS over TCP/IP Name Server 
#NetBIOS 名 称 服务 
Parameter Request List Item: (46) NetBIOS over TCP/IP Node Type 
#NetBIOS 节点 类 型 
Parameter Request List Item: (47) NetBIOS over TCP/IP Scope 
#NetBIOS 作用 范围 
Parameter Request List Item: (31) Perform Router Discover 


# 完 成 路 由 发 现 
Parameter Request List Item: (33) Static Route 
# 静 态 路 由 
Parameter Request List Item: (121) Classless Static Route 
# 无 类 静态 路 由 
Parameter Request List Item: (249) Private/Classless Static Route 
(Microsoft) # 私 有 静态 路 由 
Parameter Request List Item: (43) Vendor-Specific Information 
# 供 应 商 特定 信息 


Option: (255) End 
Option End: 255 
Padding 


通过 对 展开 内 容 的 介绍 ， 每 条 信息 的 值 都 可 以 对 应 到 DHCP 报 文 格式 中 ， 如 表 15-3 
所 示 。 


表 15-3 DHCP Discover 报 文 信息 
BootRequest () | Ehmet(0x0) | 6 | 0 
Oxf86fe053 
0 | Ox8000 (Broadcast) 
0.0.0.0 
0.0.0.0 
0.0.0.0 
0.0.0.0 
00:19:21:3f:c3:e5 


省 略 


在 该 表 中 ， 填 写 了 DHCP Discover 包 的 报 文 信息 。 在 该 表格 中 ， 没 有 填 的 内 容 表 示 空 
值 。 由 于 该 包 中 的 选项 值 太 多 了 ， 所 以 将 该 部 分 内 容 省 略 了 。 


ss 
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15.3.4 ”响应 数据 包 


响应 数据 包 是 dhcp-port.pcapng 文件 中 的 第 3 帧 ， 如 图 15.22 所 示 。 


属 dhcp-porpcapng IWireshark 1107 (v1107-0-g6bo3lalfiommasterl10] ey) 
Ee Edt Vew Go Capture Anayze Statstcs Telephony IToos Jntemas Heb 

则 加 着 硬 基 | 巴 旬 其 人 | 人 中 中 国人 业 | 四 加 人 QI 本 加 网 鞭 | 加 
Fiker [=] bpression_- clear Apply Seve 

No。 Time Source Desinetion oo Protocol Length Info 


» 


H Frame 3: 590 bytes on wire (4720 bits), 590 bytes captured (4720 bits) on interface 0 

田 Erherner I1, Src: TendaTec_84:78:1e (c8:3a:35:84:78:1e), Dst: Broadcast (ff:ff:ff:ff:ff:ff) 

田 Internet Protocol Version 4, Src: 192.168. 5.1 (192.168.5.1), Dst: 255.255.255.255 (255.255.255.255) 
四 User Datagram Protocol, Src Port: bootps (67), Dst Port: bootpc (68) 

Bootstrap Protocol 


图 15.22 DHCP Offer 包 


从 该 界面 的 Packet Details 面板 中 , 可 以 看 到 也 是 显示 了 5 行 信息 。 下面 依 次 进行 分 析 。 


Frame 3: 590 bytes on wire (4720 bits), 590 bytes captured (4720 bits) on 
interface 0 


该 行 信息 表示 这 是 第 3 帧 的 信息 。 其 中 ， 该 包 的 大 小 为 590 个 字 节 。 
Ethernet II, Src: TendaTec 84:78:le (c8:3a:35:84:78:le), Dst: Broadcast 
(FEEE2EE:EE:EESEE) 

该 行 信息 表示 以 太 网 帧 头 部 的 详细 信息 。 其 中 ， 源 地 址 为 c8:3a:35:84:78:le (DHCP 
服务 器 ) ， 目 标 地 址 为 住 住 住 住 储 任 〈 广 播 地 址 ) 。 由 于 客户 端 目前 还 没有 了 王 地 址 ， 所 以 
服务 器 会 首先 尝试 使 用 由 ARP 提供 的 客户 端 硬件 地 址 与 之 通信 。 如 果 通 信 失 败 , 那么 它 将 
会 直接 将 提供 的 地 址 广播 出 去 ， 以 进行 通信 。 所 以 ， 此 时 的 目标 地 址 仍然 是 广播 地 址 。 

Internet 了 Protocol Version 4， Sre: 192.168.5.1 (192.168.5.1). Dst: 

A A | 

该 行 信息 表示 互联 网 层 IPv4 包头 部 信息 。 其 中 ， 源 地 址 是 192.168.5.1， 目 标 地 址 为 
255.255.255.255 (广播 地 址 ) 。 这 里 的 255.255.255.255 也 是 因为 客户 端 目前 还 没有 耳 地 址 ， 
所 以 使 用 了 该 广播 地 址 。 


User Datagram Protocol, Src Port: bootps (67)，Dst Port: bootpc (68) 

该 行 信息 是 UDP 协议 信息 。 其 中 ， 源 端口 号 为 67〈 服 务 器 ) ， 目 标 端口 为 68 〈 客 
户 端 ) 。 

Bootstrap Protocol 

该 行 信息 主要 是 BOOTP 协议 的 信息 。 该 部 分 称 为 提供 数据 包 ， 表 明 这 是 一 个 响应 的 
消息 类 型 。 该 数据 包 和 前 一 个 数据 包 拥有 相同 的 事务 ID， 该 ID 告诉 用 户 这 个 响应 包 与 原 
先 的 请 求 相对 应 。 下 面 对 该 部 分 信息 的 展开 内 容 进 行 详细 介绍 ， 如 下 所 示 。 


Bootstrap Protocol 
Message type: Boot Reply (2) 
# DHCP 消息 类 型 。 这 是 一 个 请 求 包 ， 所 以 该 选项 的 值 为 1 
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Hardware type: Ethernet (0x01) # 硬 件 类 型 为 Ethernet 
Hardware address length: 6 ## 硬 件 地 址 长 度 为 6 
Hops: 0 # 经 过 DHCP 中 继 数 为 0 
Transaction ID: 0xf86fe053 # 事 务 ID 为 0xf86fe053 
Seconds elapsed: 0 # 客 户 端 启动 时 间 
Bootp flags: 0x8000 (Broadcast) #BOOTP 标志 字段 

人 = Broadcast flag: Broadcast 

-000 0000 0000 0000 = Reserved flags: 0x0000 
Client IP address: 0.0.0.0 (0.0.0.0) # 客 户 端 IP 地 址 


Your (client) IP address: 192.168.5.2 (192.168.5.2) 


# 自 己 的 (客户 端 》 IP 地 址 
Next server IP address: 0.0.0.0 (0.0.0.0) 


下 一 阶段 使 用 的 DHCP 服务 器 的 IP 地 址 


Relay agent IP address: 0.0.0.0 (0.0.0.0) #DHCP 中 继 器 的 IP 地 址 
Client MAC address: Elitegro 3f:c3:e5 (00:19:21:3f:c3:e5) 
# 客 户 端 MAC 地 址 
Client hardware address padding: 00000000000000000000 
# 客 户 端 硬件 地 址 填充 

Server host name not given # 服 务 器 主机 名 
Boot file name not given # 启 动 文件 名 
Magic cookie: DHCP 井 为 了 与 BOOTP 兼容 
Option: (53) DHCP Message Type #DHCP 消息 类 型 选项 

Length: 1 # 长 度 值 为 1 

DHCP: Offer (2) # 响 应 包 
Option: (54) DHCP Server Identifier #DHCP 服务 标识 符 

Length: 4 # 长 度 为 4 

DHCP Server Identifier: 192.168.5.1 (192.168.5.1)#DHCP 服务 标志 符 
Option: (12) Host Name ## 服 务 器 的 主机 名 

Length: 6 # 长 度 为 6 

Host Name: router # 主 机 名 为 router 
Option: (51) IP Address Lease Time #IP 地 址 租约 的 最 短 时 间 

Length: 4 # 长 度 为 4 

IP Address Lease Time: (28800s) 8 hours#IP 地 址 租约 的 最 短 时 间 为 8 小 时 
Option: (1) Subnet Mask ## 子 网 推 码 

Length: 4 # 长 度 为 4 

Subnet Mask: 255.255.255.0 (255.255.255.0) # 子 网 掩 码 值 为 255.255.255.0 
Option: (3) Router # 路 由 

Length: 4 # 长 度 为 4 

Router: 192.168.5.1 (192.168.5.1) # 路 由 器 地 址 为 192.168.5.1 
Option: (6) Domain Name Server # 域 名 服务 

Length: 4 # 长 度 为 4 


Domain Name Server: 192.168.5.1 (192.168.5.1) 
# 域 名 服务 地 址 为 192 .168.5.1 


Option: (15) Domain Name # 域 名 
Length: 7 # 长 度 为 7 
Domain Name: router # 域 名 为 router 


Option: (255) End 
Option End: 255 
Padding 


通过 以 上 每 行 信息 的 介绍 , 可 以 很 清楚 地 了 解 到 DHCP 服务 器 提供 的 详细 信息 。 例 如 ， 
提供 给 客户 端的 卫 地 址 为 192.168.5.2、DHCP 服务 标识 符 是 192.168.5.1、 子 网 掩 码 是 
255.255.255.0、IP 地 址 的 租 期 是 8 小 时 等 。 这 里 就 不 再 列举 包 中 提供 的 信息 了 ， 将 每 条 信 
息 的 值 对 应 到 DHCP 报 文 格式 中 ， 如 表 15-4 所 示 。 
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表 15-4 DHCP Offer 报 文 信息 
Boot Reply (2) Ethernet (0x01) 6 0 
Oxf86fe053 
0 | 0x8000 (Broadcast) 

0.0.0.0 

192.168.5.2 
0.0.0.0 
0.0.0.0 

00:19:21:3f:c3:e5 


省 略 
在 该 表 中 对 应 地 填写 了 DHCP Offer 包 的 报 文 信息 。 


15.3.5 ”请 求 数据 包 


请 求 数据 包 是 dhcp-portpcapng 文件 中 的 第 4 帧 ， 如 图 15.23 所 示 。 


A dhcp-portpcapng [Wireshark 1.107 (v1.107-0-g5b931al from master-1.10)] 
He Edt Vew Go Capture Anayze Statstics Telephony Ioos Intemas Hep - 
日 加 着 三 近 | 思 外 X 包 | 六 9w 四 于 生 | 国 加 | 人 Q 人 QDII 基 回电 关 | 加 


Fiker ~ | Expression.. Clear Apply Seve 


INo， Time Destination Protocol Length info a 


362 DHCP Reque 


Frame 4: 362 bytes on wire (2896 bits), 362 bytes captured (2896 bits) on interface 0 
Ethernet II, Src: Elitegro_3f:c3:e5 (00:19:21:3f:c3:e5), Dst: Broadcast (ff:ff:ff:ff:ff:ff) 
Internet proroco1 Version 4, Src: 0.0.0.0 (0.0.0.0), Dst: 255.255.255.255 (255.255.255.255) 
User Datagram Protocol, Src Port: boorpc (68), Dst Port: boorps (67) 

Bootstrap Protocol 


加 


图 15.23 DHCP Request 包 


从 该 界面 ， 可 以 看 到 在 Packet Details 面板 中 有 5 行 信息 。 下 面 介绍 该 包 的 详细 信息 ， 
如 下 所 示 。 
Frame 4: 362 bytes on wire (2896 bits), 362 bytes captured (2896 bits) on 
interface 0 
该 行内 容 表示 第 4 帧 的 信息 ， 其 中 该 包 的 大 小 为 362 个 字 节 。 
Ethernet II, Src: Elitegro 3f:c3:e5 (00:19:21:3f:c3:e5), Dst: Broadcast 
(NERSEES EE EE FEF) 
该 行内 容 表 示 以 太 网 帧 头 部 的 详细 信息 。 其 中 ， 源 MAC 地 址 为 00:19:21:3fc3:e5， 目 
标 MAC 地 址 为 任 任 任 任 任 任 (广播 地 址 ) 。 这 里 的 目标 地 址 仍然 是 一 个 广播 地 址 。 虽 然 客 
户 端 已 经 选择 了 要 使 用 的 瑟 地 址 , 但 是 它 还 没有 真正 获取 到 该 地 址 。 所 以 客户 端 以 广播 的 
形式 告诉 所 有 DHCP 服务 器 它 选择 的 地 址 。 该 广播 包 中 包含 所 选择 的 卫 地 址 和 DHCP 服 
务 器 的 也 地 址 。 所 有 其 他 的 DHCP 服务 器 将 撤销 它们 提供 的 他 地 址 ， 以 便 将 该 地 址 提供 
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给 下 一 次 卫 租用 请 求 。 


Internet Protocol Version 4, Src: 0.0.0.0 (0.0.0.0), Dst: 255.255.255.255 
人 (25352255.-2552255) 


该 行内 容 表示 互联 网 层 IPv4 包头 部 信息 。 其 中 ,， 源 瑟 地 址 为 0.0.0.0， 目 标 瑟 地 址 为 
255.255.255.255 (广播 地 址 ) 。 这 里 的 源 他 地 址 仍然 是 0.0.0.0， 因 为 我 们 还 没有 完成 获取 
IP 地址 的 过 程 。 

User Datagram Protocol, Src Port: bootpc (68), Dst Port: bootps (67) 

该 行内 容 为 UDP 协议 信息 。 其 中 源 端口 号 为 68， 目 标 端口 号 为 67。 

Bootstrap Protocol 

该 行内 容 为 BOOTP 协议 信息 。 该 包 同样 是 一 个 DHCP 请 求 包 ， 但 是 在 该 包 中 所 请 求 
的 瑟 地 址 不 再 是 空 的 ， 并 且 DHCP 服务 器 标识 域 也 包含 下 地 址 。 下 面 对 该 行内 容 展开 介 
绍 ， 如 下 所 示 。 


Bootstrap Protocol 


Message type: Boot Request (1) # 消 息 类 型 
Hardware type: Ethernet (0x01) # 硬 件 类 型 
Hardware address length: 6 # 硬 件 地 址 长 度 
Hops: 0 # 经 过 DHCP 中 继 数 
Transaction ID: 0xf86fe053 # 事 务 ID 
Seconds elapsed: 0 # 客 户 端 启动 时 间 
Bootp flags: 0x8000 (Broadcast) #BOOTP 标志 字段 
1 ERY er .。。 = Broadcast flag: Broadcast 
.000 0000 0000 0000 = Reserved flags: 0x0000 
Client IP address: 0.0.0.0 (0.0.0.0) # 客 户 端 IP 地 址 


Your (client) IP address: 0.0.0.0 (0.0.0.0) # 自 己 的 〈 客 户 端 ) IP 地 址 
Next server IP address: 0.0.0.0 (0.0.0.0) 

# 下 一 阶段 使 用 的 DHCP 服务 器 的 IP 地 址 
Relay agent IP address: 0.0.0.0 (0.0.0.0) 
Client MAC address: Elitegro 3f:c3:e5 (00:19:21:3f:c3:e5) 


# 客 户 端 MAC 地址 
Client hardware address padding: 00000000000000000000 
# 客 户 端 硬件 地 址 填充 
Server host name not given ## 服 务 器 主机 名 
Boot file name not given # 启 动 文件 名 
Magic cookie: DHCP # 与 BOOTP 兼容 
Option: (53) DHCP Message Type #DHCP 消息 类 型 
Length: 1 # 长 度 为 1 
DHCP: Request (3) # 请 求 包 
Option: (61) Client identifier # 客 户 端 标识 符 
Length: 7 # 长 度 为 7 
Hardware type: Ethernet (0x01) # 硬 件 长 度 
Client MAC address: Elitegro 3f:c3:e5 (00:19:21:3f:c3:e5) 
# 客 户 端 MAC 地 址 
Option: (50) Requested IP Address # 请 求 的 IP 地 址 
Length: 4 # 长 度 为 4 


Requested IP Address: 192.168.5.2 (192.168.5.2) 
坦 请 求 IP 地址 192.168.5.2 
Option: (54) DHCP Server Identifier #DHCP 服务 器 标志 符 


Length: 4 # 长 度 为 4 
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DHCP Server Identifier: 


L925 


168.5.1 (192.168.5.1) 
#DHCP 服务 器 标识 符 为 192 .168.5.1 


Option: (12) Host Name ## 客 户 端 主机 名 
Length: 12 # 长 度 为 12 
Host Name: Windows7Test # 主 机 名 为 Windows7Test 

Option: (81) Client Fully Qualified Domain Name ## 客 户 端 完全 合格 域名 
Length: 15 # 长 度 为 15 
Flags: 0x00 # 标 志 位 
0000 .... = Reserved flags: 0x00 # 保 留 标 志 
.... 0... = Server DDNS: Some server updates ## 服 务 器 DDNS 
.... .0.. = Encoding: RSCII encoding # 编 码 格式 
-..-. ..0. = Server overrides: No override ## 服 务 重 写 
.... ...0 = Server: Client 


A-RR result: 0 
PTR-RR result: 0 


Client name: Windows7Test # 客 户 端 名 称 
Option: (60) Vendor class identifier # 供 应 商 类 标识 符 
Length: 8 # 长 度 为 8 
Vendor class identifier: MSFT 5.0 # 供 应 商 类 标识 符 为 MSFT 5.0 
Option: (55) Parameter Request List # 参 数 请 求 列 表 
Length: 12 
Parameter Request List Item: (1) Subnet Mask # 子 网 掩 码 
Parameter Request List Item: (15) Domain Name 间 域 名 
Parameter Request List Item: (3) Router # 路 由 
Parameter Request List Item: (6) Domain Name Server # 域 名 服务 
Parameter Request List Item: (44) NetBIOS over TCP/IP Name Server 
#NetBIOS 名 称 服务 
Parameter Request List Item: (46) NetBIOS over TCP/IP Node Type 
#NetBIOS 节点 类 型 
Parameter Request List Item: (47) NetBIOS over TCP/IP Scope 
#NetBIOS 作用 范围 
Parameter Request List Item: (31) Perform Router Discover 
# 完 成 路 由 发 现 
Parameter Request List Item: (33) Static Route 
# 静 态 路 由 
Parameter Request List Item: (121) Classless Static Route 
# 无 类 静态 路 由 
Parameter Request List Item: (249) Private/Classless Static Route 
(Microsoft) # 私 有 静态 路 由 
Parameter Request List Item: (43) Vendor-Specific Information 
# 供 应 商 特定 信息 
Option: (255) End 


Option End: 255 


通过 对 展开 内 容 的 介绍 ， 每 条 信息 的 值 都 可 以 对 应 到 DHCP 报 文 格式 中 ， 如 表 15-5 
所 示 。 
表 15-5 DHCP Request 报 文 信息 
Boot Request (1) Ethemet (Ox01) 6 0 
Oxf86fe053 
0 Ox8000 (Broadcast) 
0.0.0.0 
0.0.0.0 
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0.0.0.0 
0.0.0.0 
00:19:21:3f:c3:e5 


省 略 
在 该 表 中 ， 填 写 了 DHCP Request 包 的 报 文 信息 。 


15.3.6 ”确认 数据 包 


确认 数据 包 是 dhcp-port.pcapng 文件 中 的 第 5 帧 ， 如 图 15.24 所 示 。 


dhcp-port pcapng [Wireshark 1107 (v1.107-0-g6b931a1 from master-1.10)] eey >™| 
Ele Edt Vew Go Capture Anayze Statstics Telephony Ioos Intemas Hep 
轩 轿 着 本 大 | 思 牟 X 包 | 人 中国 守业 QQGQDI 硬 国 网 兰 | 回 


Fiker ~] Expression.. Clear Apply Save 


INo Time Source Destination Protocol Length Iinfo 


DFrame 5: 590 bytes on wire (4720 bits), 590 bytes captured (4720 bits) on interface 0 

9 Ethernet II, Src: TendaTec_84:78:1e (c8:3a:35:84:78:1e), Dst: Broadcast (ff:ff:ff:ff:ff:ff) 

D Internet Prorocol Version 4, Src: 192.168. 5.1 (192.168.5.1), Dst: 255.255.255.255 (255.255.255.255) 
H User Datagram Protocol, Src Port: boorps (67), Dst Port: boorpc (68) 

D Bootstrap Protocol 


图 15.24 DHCPACK 包 


从 该 界面 可 以 看 到 DHCP ACK 包 ， 在 Packet Details 面板 中 有 5 行 描述 信息 。 下 面 分 
别 介绍 Packet Details 面板 中 的 每 行 信息 ， 如 下 所 示 。 


Frame 5: 590 bytes on wire (4720 bits), 590 bytes captured (4720 bits) on 
interface 0 


从 该 行内 容 中 可 以 看 到 ， 第 5 帧 的 数据 包 大 小 为 590 个 字 节 。 


Ethernet II, Src: TendaTec 84:78:le (c8:3a:35:84:78:le), Dst: Broadcast 
(FE: EESEESEE EE:EE) 


该 行内 容 表示 以 太 网 帧 头 部 信息 。 其 中 源 MAC 地 址 为 c8:3a:35:84:78:le (DHCP 服务 
器 ) ， 目 标 MAC 地 址 为 在 在任 在任 在 ( 广 播 地 址 )。 


Internet Protocol Version 4, Src: 192.168.5.1 (192.168.5.1), Dst: 
35.255.255.255 (255.255.255.255) 


该 行内 容 表示 互联 网 层 IPv4 包头 部 信息 。 其 中 源 他 地 址 为 192.168.5.1， 目 标 卫 地 址 
海 255.259.255.255。 

User Datagram Protocol, Src Port: bootps (67)，Dst Port: bootpc (68) 

该 行内 容 表 示 第 5 帧 数据 包 ， 使 用 的 是 UDP 协议 。 其 中 ， 源 端口 号 为 67， 目 标 端口 
号 为 68。 


Bootstrap Protocol 
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该 行内 容 表 示 BOOTP 协议 的 信息 ， 该 包 是 DHCP 工作 流程 的 最 后 一 步 。 通 过 该 包 就 


3 


J 以 获取 到 所 请 求 的 下 地址 , 并 在 其 数据 库 中 记录 相关 信息 。 下 面 对 该 行 的 展开 信息 进行 
详细 介绍 ， 如 下 所 示 。 


Bootstrap Protocol 


“3 


Message type: Boot Reply (2) # 消 息 类 型 
Hardware type: Ethernet (0x01) # 人 硬件 类 型 
Hardware address length: 6 # 人 硬件 地 址 长 度 
Hops: 0 # 经 过 的 DHCP 中 继 数 
Transaction ID: 0xf86fe053 # 事 务 ID 
Seconds elapsed: 0 # 客 户 端 启动 时 间 
Bootp flags: 0x8000 (Broadcast) #BOOTP 标志 字段 

1 - = Broadcast flag: Broadcast 


-000 0000 0000 0000 = Reserved flags: 0x0000 
Client IP address: 0.0.0.0 (0.0.0.0) # 客 户 端 IP 地 址 
Your (client) IP address: 192.168.5.2 (192.168.5.2) 


# 自 己 〈 客 户 端 ) 的 IP 地 址 
Next server IP address: 0.0.0.0 (0.0.0.0) 
# 下 一 阶段 使 用 的 DHCP 服务 器 的 IP 地 址 


Relay agent IP address: 0.0.0.0 (0.0.0.0) #DHCP 中 继 的 IP 地 址 
Client MAC address: Elitegro 3f:c3:e5 (00:19:21:3f:c3:e5) 
# 客 户 端 MAC 地 址 
Client hardware address padding: 00000000000000000000 
# 客 户 端 硬件 地 址 填充 

Server host name not given # 服 务 器 主机 名 
Boot file name not given # 启 动 文件 名 
Magic cookie: DHCP # 与 BOOTP 兼容 
Option: (53) DHCP Message Type #DHCP 消息 类 型 

Length: 1 # 长 度 为 1 

DHCP: ACK (5) # 确 认 包 
Option: (54) DHCP Server Identifier #DHCP 服务 标识 符 

Length: 4 # 长 度 为 4 

DHCP Server Identifier: 192.168.5.1 (192.168.5.1) #DHCP 服务 器 标识 符 
Option: (12) Host Name # 主 机 名 

Length: 6 # 长 度 为 6 

Host Name: router # 主 机 名 
Option: (51) IP Address Lease Time #IP 地 址 租约 最 短 时 间 

Length: 4 # 长 度 为 4 

IP Address Lease Time: (28800s) 8 hours #IP 地 址 最 短 租约 时 间 为 8 小 时 
Option: (1) Subnet Mask # 子 网 掩 码 

Length: 4 # 长 度 为 4 

Subnet Mask: 255.255.255.0 (255.255.255.0) # 子 网 掩 码 为 255.255.255.0 
Option: (3) Router # 路 由 

Length: 4 # 长 度 为 4 

Router: 192.169.5.1 (192:168:5.1) # 路 由 器 地 址 
Option: (6) Domain Name Server # 域 名 服务 

Length: 4 # 长 度 为 4 

Domain Name Server: 192.168.5.1 (192.168.5.1)# 域 名 服务 
Option: (15) Domain Name # 域 名 

Length: 7 # 长 度 为 7 

Domain Name: router # 域 名 为 router 


Option: (255) End 
Option End: 255 
Padding 
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通过 对 展开 内 容 的 介绍 ， 每 条 信息 的 值 都 可 以 对 应 到 DHCP 报 文 格式 中 ， 如 表 15-6 
所 示 。 


表 15-6 DHCP Ack 报 文 信息 


Boot Reply (2) Ethemet (Ox01) 6 0 
Oxf86fe053 
0 0x8000 (Broadcast) 

0.0.0.0 

192.168.5.2 
0.0.0.0 
0.0.0.0 

00:19:21:3f:c3:e5 


省 略 


在 该 表 中 ， 对 应 地 填写 了 DHCP ACK 包 的 报 文 信息 。 
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DNS (Domain Name System， 域 名 系统 ) ， 是 因特网 上 作为 域名 和 他 地 址 相互 映射 的 
一 个 分 布 式 数据 库 ， 能 够 使 用 户 更 方便 地 访问 互联 网 ， 而 不 用 去 记 住 能 够 被 机 器 直接 读 取 
的 下 数 串 。 通 过 主机 名 ， 从 而 得 到 该 主机 名 对 应 的 瑟 地 址 的 过 程 叫做 域名 解析 或 主机 名 
解析 。DNS 协议 运行 在 UDP 协议 之 上 ， 使 用 端口 号 53。 本 章 将 介绍 DNS 抓 包 分 析 。 


16.1 DNS 概述 


DNS 是 域名 系统 (Domain Name System) 的 缩写 ， 该 系统 用 于 命名 组 织 到 域 层 次 结构 
中 的 计算 机 和 网 络 服务 。 域 名 是 由 圆 点 分 开 一 串 单词 或 缩写 组 成 的 ， 每 一 个 域名 都 对 应 一 
个 唯一 的 全 地址。 在 Intemet 上 域名 与 卫 地 址 之 间 是 一 一 对 应 的 ，DNS 就 是 进行 域名 解 
析 的 服务 器 。 本 节 将 介绍 DNS 概述 。 


16.1.1 什么 是 DNS 


DNS (域名 系统 ) 是 一 种 组 织 成 域 层次 结构 的 计算 机 和 网 络 服务 命名 系统 。 域 名 系统 
实际 上 就 是 为 了 解决 P 地 址 的 记忆 难 而 诞生 的 。 在 互联 网 上 域名 与 了 P 地 址 之 间 是 一 对 一 
或 者 多 对 一 的 ， 如 果 要 记 住 所 有 的 下 地址 ， 显然 不 太 容 易 。 虽 然 域名 便于 人 们 记忆 ， 但 主 
机 之 间 只 能 互相 认识 下 地 址 ， 所 以 它们 之 间 的 转换 就 需要 DNS 来 完成 。 

DNS 用 于 TCP/IP 网 络 , 它 所 提供 的 服务 就 是 用 来 将 主机 名 和 域名 解析 为 PP 地 址 ,DNS 
就 是 这 样 的 一 位 “翻译 官 ”， 它 的 基本 工作 原理 如 图 16.1 所 示 。 


域名 : www.qq. com 


DNS 


| | 


IPv4: 119.188.89 .202 


图 16.1 DNS 工作 原理 


图 16.1 表示 DNS 将 域名 www.qq.com 解析 后 的 卫 地 址 为 119.188.89.202。 
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16.1.2 ”DNS 的 系统 结构 


在 整个 互联 网 中 ， 如 果 将 数 以 亿 计 主机 的 域名 和 卫 地 址 对 应 关系 交 给 一 台 DNS 服务 
器 管理 ， 并 处 理 整 个 互联 网 中 客户 机 的 域名 解析 请 求 ， 丽 怕 很 难 找到 能 够 承受 如 此 巨大 负 
载 的 服务 器 ， 即 便 能 够 找到 ， 查 询 域名 的 效率 也 会 非常 低 。 因 此 ， 互 联网 中 的 域名 系统 采 
用 了 分 布 式 的 数据 库 方式 ， 将 不 同 范围 内 的 域名 P 地 址 对 应 关系 交 给 不 同 的 DNS 服务 器 
管理 。 这 个 分 布 式 数据 库 采用 树 型 结构 ， 全 世界 的 域名 系统 具有 唯一 的 “ 根 ”， 如 图 16.2 
所 示 。 


ei 0 
.Com cn .net.cn .edu.cn ee 
.Zol . com cn .sina . com cn 
www mail 


news 
图 16.2 互联 网 域名 系统 的 树 型 结构 


包含 主机 名 及 其 所 在 的 域名 的 完整 地 址 又 称 为 FQDN (Full Qualified Domain， 完 全 限 
定 域名 ) 地 址 , 或 称 为 全 域名 。 例 如 新 浪 网 站 服务 器 的 地 址 “www.sina.com.cn”, 其 中 “www” 
表示 服务 器 的 主机 名 (大 多 数 的 网 站 服务 器 都 使 用 该 名 称 ) ，“sina.com.cn” 表 示 该 主机 
所 属 的 DNS 域 。 该 地 址 中 涉及 多 个 不 同 的 DNS 及 其 服务 器 。 
口 “.” 根 域 服务 器 ， 是 所 有 主机 域名 解析 的 源头 ， 地 址 中 最 后 的 “.” 通 常 被 省 略 。 
口 “.cn” 域 名 服务 器 ， 负 责 所 有 以 “cn” 结 尾 的 域名 的 解析 ，“.cn” 域 是 处 于 根 域 之 
下 的 顶级 域 。 
口 “.com.cn” 域 服务 器 ， 负 责 所 有 以 “com.cn” 结 尾 的 域名 的 解析 ，“.com.cn” 域 是 
“.cn” 域 的 子 域 。 
口 “.sina.com.cn” 域 服务 器 ， 由 新 浪 公司 负责 维护 ， 提 供 “.sina.com.cn” 域 中 所 有 主 
机 的 域名 解析 ， 如 www.sina.com.cn、mail.sina.com.cn 等 ，“.sina.com.cn” 域 是 
“.com.cn” 域 的 子 域 。 
从 以 上 的 DNS 层次 结构 中 可 以 看 出 ， 对 于 互联 网 中 每 个 主机 域名 的 解析 ， 并 不 需要 
涉及 太 多 的 DNS 服务 器 就 可 以 完成 。 通 常客 户 端 主机 中 只 需要 指定 1 一 3 个 DNS 服务 器 地 
址 ， 就 可 以 通过 递归 或 迭代 的 查询 方式 获知 要 访问 的 域名 对 应 的 了 P 地 址 。 


16.1.3 DNS 系统 解析 过 程 


DNS 服务 采用 服务 器 /客户 端 〈C/S) 方式 工作 。 当 客户 端 程序 要 通过 一 个 主机 名 称 访 


ss 
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问 网 络 中 的 一 台 主 机 时 ， 它 首先 要 得 到 这 个 主机 名 称 所 对 应 的 瑟 地 址 。 因 为 卫 数据 报 中 
允许 放置 的 是 目的 主机 的 瑟 地 址 ， 而 不 是 主机 名 称 。 可 以 从 本 机 的 hosts 文件 中 得 到 主机 
名 称 所 对 应 的 他 地 址 ， 但 如 果 hosts 文件 不 能 解析 该 主机 名 称 ， 则 只 能 通过 向 客户 机 所 设 
定 的 DNS 服务 器 进行 查询 了 。 下 面 以 www.sina.com.cn 域名 为 例 讲解 DNS 系统 解析 的 过 
程 ， 如 图 16.3 所 示 。 


| ws 
Ro 


DNS 客 户 机 
SIna .COM. Cn 


域名 服务 E 


Web 服 务 器 


Www. sina. com.cn 


图 16.3 DNS 解析 的 过 程 


在 图 16.3 中 ， 显 示 出 了 DNS 服务 的 解析 过 程 ， 同 时 也 体现 出 了 它 的 构成 。DNS 服务 
由 客户 机 、 域 名 服务 器 和 Web 服务 器 构成 了 一 个 简单 的 网 络 环境 。DNS 名 称 解 析 的 过 程 
如 下 所 示 。 

(1) DNS 客户 机 向 本 地 域名 服务 器 发 送 了 一 个 查询 ， 请 求 查找 域名 www.sina.com.cn 
的 瑟 地 址 。 本 地 域名 服务 器 查找 自己 保存 的 记录 ， 看 能 否 找到 这 个 被 请 求 的 卫 地址。 如 
果 本 地 域名 服务 器 中 有 这 个 地 址 ， 则 将 此 地 址 返回 给 DNS 客户 机 。 

(2) 如 果 本 地 域名 服务 器 没有 这 个 地 址 ， 则 发 起 查找 地 址 的 过 程 。 本 地 域名 服务 器 发 
送 请 求 给 根 域名 服务 器 ， 询 问 www.sina.com.cn 的 相关 地 址 。 根 域名 服务 器 无 法 提供 这 个 
地 址 ， 但 是 会 将 域 cn 的 名 称 服务 器 的 地 址 返回 给 本 地 域名 服务 器 。 

(3) 本 地 域名 服务 器 再 向 .cn 域 服 务 器 发 送 查询 地 址 请 求 。cn 域 服务 器 无 法 提供 这 个 
地 址 ， 就 将 com.cn 域 服务 器 地 址 发 送 给 本 地 域名 服务 器 。 

(4) 本 地 域名 服务 器 再 向 com.cn 域 服 务 器 发 送 查 询 地 址 请 求 。com.cn 服务 器 无 法 提 
供 这 个 地 址 ， 就 将 sina.com.cn 域名 服务 器 地 址 发 送 给 本 地 域名 服务 器 。 

(5) 本 地 域名 服务 器 再 向 sina.com.cn 发 送 查询 地 址 请 求 。sina.com.cn 找到 了 
www-.sina.com.cn 的 地 址 ， 就 将 这 个 地 址 发 给 本 地 域名 服务 器 。 

(6) 本 地 域名 服务 器 会 将 这 个 地 址 发 给 DNS 客户 机 。 

(7) DNS 客户 机 发 起 与 主机 www. sina.com.cn 的 连接 。 

以 上 就 是 DNS 域名 解析 过 程 ， 在 该 解析 过 程 中 通常 会 用 到 两 种 查询 方式 ， 分 别 是 递 
归 查 询 和 迭代 查询 。 下 面 分 别 介绍 这 两 种 查询 方式 。 
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1. 递归 查询 


主机 向 本 地 域名 服务 器 的 查询 一 般 都 是 采用 递归 查询 。 如 果 主 机 所 询问 的 本 地 域名 服 
务 器 不 指定 被 查询 域名 的 他 地址， 那么 本 地 域名 服务 器 就 以 DNS 客户 的 身份 ， 向 其 他 根 
域名 服务 器 继续 发 出 查询 请 求 报 文 。 


2. 迭代 查询 
本 地 域名 服务 器 向 根 域名 服务 器 的 查询 通常 采用 迭代 查询 。 当 根 域名 服务 器 收 到 本 地 


域名 服务 器 的 迭代 查询 请 求 报 文 时 , 要 么 给 出 所 要 查询 的 他 地址, 要 么 告诉 本 地 域名 服务 
器 “下 一 步 应 当 向 哪 一 个 域名 服务 器 进行 查询 ”。 然 后 让 本 地 域名 服务 器 进行 后 续 的 查询 。 


16.1.4 DNS 问题 类 型 


DNS 查询 和 响应 中 所 使 用 的 类 型 域 ， 指 明了 这 个 查询 或 者 响应 的 资源 记录 类 型 。 常 用 
的 消息 资源 记录 类 型 如 表 16-1 所 示 。 


表 16-1 常用 DNS 资源 记录 类 型 
值 | 类 型 | 描述 
1 IPv4 主机 地 址 
2 权威 域名 服务 器 
5 规范 别名 ， 定 义 主机 正式 名 字 的 别名 
12 | PIR | 指针， 把 他 地 址 转换 为 域名 


邮件 交换 记录 , 用 于 电子 邮件 系统 发 邮件 时 根据 收 件 人 的 
地 址 后 组 来 定位 邮件 服务 器 


16 文本 字符 由 
28 IPv6 主机 地 址 


251 | KFR | 增 吕 区 域 传送 
22 | AXFR | 完整 区 域 传送 


以 上 是 一 些 DNS 常用 的 消息 资源 记录 类 型 ， 如 果 想 了 解 更 详细 的 信息 ， 可 以 访问 
http://www.iana.org/assignments/dns-parameters/dns-parameters.xhtml 网 页 。 


16.2 ”捕获 DNS 数据 包 


通过 前 面 的 详细 介绍 ， 用 户 应 该 知道 DNS 是 基于 UDP 协议 的 
工作 的 。 本 节 将 通过 指定 udp 过 滤器 ， 捕 获 DNS 数据 包 。 捕 获 
DNS 数据 包 的 实验 环境 如 图 16.4 所 示 。 
以 上 就 是 本 例 中 的 简单 实验 环境 配置 。 由 于 捕获 DNS 数据 
包 ， 不 需要 两 台 (或 多 台 ) 主机 之 间 通 信 ， 只 需要 将 主机 PC2 连 pc 
接 到 互联 网 就 可 以 了 。 这 里 通过 在 主机 PC1 上 访问 域名 
www.qq.com， 来 捕获 数据 包 。 具 体操 作 步 又 如 下 所 示 。 IP:192.168.5.2 
(1) 在 主机 PC1 上 开启 Wireshark 工具 ， 如 图 16.5 所 示 。 图 16.4 Wireshark 的 位 置 
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示 捕 获 选项 ) 图 标 打开 Wireshark 捕获 选项 窗口 ， 如 图 16.6 所 示 。 


Ml The wireshark Network Analyzer [Wireshark 110.7 (v1.10.7-0-g6b931al fom master1101 


[EL 


He Edt Vew Go Capture Anayze Statstcs Telephony IToos jntemaks Hep 
固有 有 | 记 人 XX 儿 law 中 中 于 主 | 四国 aaa 名曲 次 | 加 
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The World's Most Popular Network Protocol Analyzer 


7 (v1L.10.7-0-96b931al from master-1.10) 


i 
WIRESHARK 
[Capture iles | 


Version 1.10. 


= Interface List [2 Open 全 Websi - 
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(counts ncomng packets) 
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大 Start 加 
SNWireshark\ll11.pcapng (2468 kB) The Vers, 
oom one or Mom miloo to ot hom ton St CiWiesharkvdhcp.pcapng (17 kB) 
本 地 连接 ~ 
加 引 @® Sample Captures ® work wen 司 
限 vMware Network Adapter VMnet! A rch morment of erpie capture fies cn the wi 
ER VMware Network Adanter VMnetR 
© Capture Options 
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4[ mm A ee ee ”" 
Ready to load or capture No Packets Profie: Defauk 


图 16.5 Wireshark 主 界面 
(2) 在 该 界面 的 菜单 栏 中 依次 选择 CapturelOptions 命令 ,或 者 单 击 工 


Wireshark: Capture Options ET 
Capture 
[Capture Interface Uink-layer header Prom. Mode Snaplen [8] Buffer [MiB] Capture Fiter ~ 


团 。 wso-6oul672t14obfe48 Ethernet enobled defoult 2 udp 


19216852 
4 ; 
回 Capture on all interfaces Manage Interfaces, 
@ Use promiscuous mode on all interfaces 


Ce ee [eg 


具 栏 中 的 图 ( 显 


| Gpture pes 
Fle: | CAWireshark\dns.pcapng 
Use mokiple files 
Next file every 1 
Next file every 1 
Ring buffer with [2 
Stop capture after |1 
Stop Capture Automaticaly After... 
固 |1 
回民 
[IE 


启 packet(s) 
[megabyrets) 


月 |minwe(s) 


BW Use pcap-ng format 
megabyte(s) 


minute(s) 


fies 
fie(s) 


Dapby Options 
司 Update list of packets in real time 
司 eutomaticalh scroll during live capture 
司 Hide capture info dialog 


Name Resoution 
司 Resolve MAC addresses 


Resolve network-layer names 
司 Resolve transport-layer name 


司 Use external network name resolver 


Es Ege 


(3) 在 该 界面 选择 捕获 接 
始 捕获 数据 。 

(4) 此 时 ， 通 过 在 浏览 
www-qq.com 网 页 后 ， 返 回 到 


"M08 


图 16.6 设置 捕获 选项 
口 、 设 置 捕获 过 滤器 及 捕获 文件 名 。 然 后 单 击 Start 按钮 ， 开 


中 访问 www.qq.com 域名 ， 以 产生 DNS 数据 包 。 当 正常 打开 
Wireshark 界面 ， 将 看 到 如 图 16.7 所 示 的 界面 。 
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通 dnspcapng [Wireshark 1.107 (v1.10.7-0-g6b93lalfrommaster110] eer) 
Ee Edt View Go Capture Anayze Statstics Telephony Ioos Intemas Hep 
四 加 着 大道 | 巴 四 其 人 | 人 9 省 国字 业 | 国 国人 本 四 思 > 


Filter: [= | epresson- Clear "ApPYy ave 
| Source Destination protocol Length Info < 
fea0: 0081:672f :ff02: :1:2 Pv6 ”154 Solicit XID: Ox18easf Ca 


2 1 332142000 于 168. 5.2 BROWSEF 过 人 ee 


52.168- 3 DNS 102 Er 一 一 - Dr 
192.168. 5.255 NBNS 92 Name query NB WPAD<00> 


4 Ey 393708000 1 168. 
5 22.073945000 192.168. 


5.1 
5.2 
6 22.115811000 192.168.5.2 255.255.255.255 DHCP 342 DHCP Inform  - Transac 
7 22.121267000 192.168.5.1 192.168.5.2 DHCP 590 DHCP ACK - Transac 
8 22.814983000 192.168.5.2 192.168. 5.255 NBNS 92 Name query NB WPAD<00> 
9 23.124541000 192.168.5.2 192.168.5.1 DNS 74 Standard query Oxb0a9 ， 
10 23.141447000 192.168.5.1 192.168.5.2 DNS 191 standard query response 
11 23.235078000 192.168.5.2 192.168.5.1 DNS 75 Standard query Ox89f3 ， 
12 23.238466000 192.168.5.2 192.168.5.1 DNS 74 Standard query Oxcbob ， 
13 23.239561000 go 5.2 .168.5.1 69 standard query OR ] 国 
14 323 ?amnznmmm re < 1 IN ers mars nvan2、 


图 16.7 捕获 的 数据 包 


(5) 从 Wireshark 的 Packet List 面板 的 Protocol 列 中 , 可 以 看 到 有 DNS 协议 的 数据 包 。 
但 是 也 有 其 他 协议 数据 包 ， 如 DHCPv6、NBNS 等 。 为 了 不 受 这 些 数据 包 的 影响 ， 下 面 使 
用 显示 过 滤器 仅 显 示 DNS 协议 数据 包 。 

在 Wireshark 中 ， 提 供 了 DNS 显示 过 滤器 ， 可 以 仅 过 滤 显示 DNS 协议 的 数据 包 。 在 
Wireshark 的 显示 过 滤器 区 域 输入 dns, 然后 单 击 Apply 按钮 , 将 显示 如 图 16.8 所 示 的 界面 。 
属 dnspcapng IWireshark 1107 (v11077-0-g6b931a1 from masterl10 


Ele Edt View Go Capture Anayze Statstics Telephony Ioos jntemas Hep 
dO 人 XDA 名 TF 回国 QQQDl 本 加 加 萝 | 加 


Te 


No， Time Source Destination Protocol Length lnfo 


4 12.993708000 192.168.5.1 192.168.5.2 DNS 102 st query response Ox1782 A 11¢ 
9 23.124541000 192.168.5.2 192.168.5.1 DNS 74 Standard query Oxb0a9 A matl.gtimg.¢ 

10 23.141447000 192.168.5.1 192.168.5.2 DNS 191 standard query response Oxb0a9 CNAME 

11 23.235078000 192.168.5.2 192.168.5.1 DNS 75 Standard query Ox89f3 A inews.gtimg. 

12 23.238466000 192.168.5.2 192.168.5.1 DNS 74 Standard query OxcbOb A imgl.gtimg.¢ 

13 23.239561000 192.168.5.2 192.168.5.1 DNS 69 standard query Oxb734 A p.qpic.cn 

14 23.240279000 192.168.5.2 192.168.5.1 DNS 70 standard query Ox303a A i.gtimg.cn 

15 23.240977000 192.168.5.2 192.168.5.1 DNS 72 Srandard query Ox9339 A img.gtimg.cr 

16 23.254369000 192.168.5.1 192.168.5.2 DNS 198 Standard query response Ox89f3 CNAME 

17 23.255929000 192.168.5.1 192.168.5.2 DNS 181 Standard query response Oxb734 A 16: 

18 23.257701000 192.168.5.2 192.168.5.1 DNS 72 Standard query Oxd1i32 A ra. .gtimg. Cor _ 
,en >an 2ce em mm seo = ~ or En 
© | Fe: “Z:\dns.pcapng" 26 ... | Packets: 162 * Displayed: 119 (73.5%) * L... | Profie: Defauk | 

ms mm 


图 16.8 显示 过 滤 的 DNS 协议 数据 包 


在 该 界面 的 Protocol 列 ， 可 以 看 到 都 是 DNS 协议 的 数据 包 。 这 些 数据 包 分 别 是 DNS 
查询 (query) 和 DNS 响应 〈response) 数据 包 。 根 据 Info 列 描述 信息 中 的 ID 号 ， 可 以 判 
断 出 3、4 帧 是 一 个 数据 包 。 其 中 , 第 3 帧 是 DNS 查询 ， 第 4 帧 是 响应 第 3 帧 的 DNS 查询 
信息 。 后 面 将 以 3、4 帧 对 DNS 协议 数据 包 进行 详细 分 析 。 

为 了 方便 后 面 对 数 据 包 进行 分 析 , 这 里 将 3、4 帧 导出 。 在 Wireshark 中 导出 数据 包 时 ， 
可 以 通过 指定 包 的 范围 或 标记 包 的 方式 将 数据 包 导 出 。 这 里 通过 标记 包 的 方式 ， 将 3、4 
帧 导出 。 首 先 将 这 两 个 数据 帧 进行 标记 ， 选 择 第 3 个 数据 帧 并 单 击 右键 ， 将 弹出 如 图 16.9 
所 示 的 菜单 。 
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Mark Packet (toggle) 

| Jgnore Packet (toggle) 

| © Set Tme Reference (toggle) 
© Time Shift... 

| 加 Packet Comment... 


Manualy Resokve Address 


Apph as Fiter 
Prepare a Fiker 
Conversation Fiter 
Colorze Conversation 
SCTP 

Folow TCP Stream 
Folow UDP Stream 
Folow SSL Stream 


Copy 二 
Protocol preferences 
各 Decode As... 
部 pmt... 


| Show Packet in New Window 
图 16.9 包 操 作 的 右键 菜单 


该 菜单 中 选择 Mark Packet (toggle) ， 即 可 将 该 数据 包 标 记 。 然 后 以 同样 的 方法 ， 
i vey 将 这 两 个 数据 帧 标记 后 ， 显 示 界 面 如 图 16.10 所 示 。 
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图 16.10 标记 的 包 


从 该 界面 可 以 看 到 3、4 帧 以 黑色 高 亮 显示 ， 这 就 是 被 标记 后 数据 包 的 显示 结果 。 此 
时 在 Wireshark 的 菜单 栏 中 , 依次 选择 File|Export Specified Packets 命令 ， 二 16.11 
所 示 的 界面 。 


- 


图 16.11 导出 标记 的 包 
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在 该 界面 Packet Range 区 域 选择 Marked packets 选项 ， 然 后 指定 捕获 文件 的 位 置 及 捕 
获 文件 名 。 设 置 完 以 上 信息 后 ， 单 击 “ 保 存 ” 按 钮 即 可 完成 数据 包 的 导出 。 


16.3 ”分析 DNS 数据 包 


通过 前 面 对 DNS 协议 的 详细 介绍 ， 用 户 对 DNS 的 作用 、 结 构 及 工作 过 程 有 了 基本 的 
认识 。 本 节 将 介绍 分 析 DNS 数据 包 。 


16.3.1 DNS 报 文 格式 


DNS 只 有 两 种 报 文 ， 分 别 是 查询 报 文 和 回答 报 文 。 它 们 的 报 文 格式 相同 ， 如 图 8-2 所 


表 16-2 ”DNS 报 文 格式 
域名 系统 


|DNSID 号 。 [QR| 操作 代码 | AA | Tc | RD | RA | 2z | 响应 代码 

办 区 志 

额外 记录 计数 

回答 区 段 

额外 信息 区 段 

下 面 对 表 16-2 中 各 字段 进行 详细 介绍 ， 如 下 所 示 。 

口 DNS ID 号 (DNS ID Number) : 用 来 对 应 DNS 查询 和 DNS 响应 。 

口 查询 /响应 (Query/Response，QR) : 用 来 指明 这 个 报 文 是 DNS 查询 还 是 响应 ， 占 
1 个 比特 位 。 如 果 标 志 位 为 1， 表示 响应 ;如 果 为 0， 则 表示 查询 。 

口 操作 代码 (OpCode) : 用 来 定义 消息 中 请 求 的 类 型 ， 占 4 个 比特 位 。 

口 权威 应 答 (Authoritative Answer，AA) : 如 果 响 应 报 文中 设 定 了 这 个 值 ， 则 说 明 
这 个 响应 是 由 域内 权威 域名 服务 器 发 出 的 ， 占 1 个 比特 位 。 

口 截断 Truncation，TC) : 用 来 指明 这 个 响应 由 于 时 间 太 长 ， 无 法 接 入 报 文 而 被 截 
断 。 该 标志 位 占 1 比特 位 ， 当 该 标志 位 值 为 1 时 ， 表 示 响 应 已 超过 512 字 节 并 已 
被 截断 。 

口 期 望 递 归 (Recursion Desired，RD) : 当 请 求 中 设 定 了 这 个 值 ， 则 说 明 DNS 客户 
端 在 目标 域名 服务 器 不 含有 所 请 求 信息 的 情况 下 ， 要 求 进行 递归 查询 。 该 标志 位 
占 1 个 比特 位 。 

口 可 用 递归 (Recursion Available，RA) : 当 响 应 中 设 定 了 这 个 值 ， 说 明 域 名 服务 器 
支持 递归 查询 ， 占 1 比特 位 。 

口 保留 (Z) : 在 RFC1035 的 规定 中 被 全 设 为 0， 但 有 时 会 被 用 来 作为 RCode 域 的 
扩展 ， 占 3 比特 位 。 

口 响应 代码 (Response Code) : 在 DNS 响应 中 用 来 指明 错误 ， 占 4 个 比特 位 。 该 字 
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段 的 值 通常 为 0 和 3， 可 取 的 值 及 含义 如 下 所 示 。 

(1) 0 表示 没有 错误 。 

(2) 1 表示 格式 错误 。 

(3) 2 表示 在 域名 服务 器 上 存在 问题 。 

(4) 3 表示 域 参数 问题 。 

(5) 4 表示 查询 类 型 不 支持 。 

(6) 5 表示 在 管理 上 被 禁止 。 

(7) 6 一 15 表示 保留 。 


口 问题 计数 〈Question Count) : 在 问题 区 段 中 的 条 目 数 。 

口 问答 计数 (Answer Count) : 在 回答 区 段 中 的 条 目 数 。 

口 域名 服务 器 计数 (Name Server Count) : 在 权威 区 段 的 域名 资源 记录 数 。 

口 额外 记录 计数 (Additional Records Count) : 在 额外 信息 区 段 中 的 其 他 资源 记录 数 。 

口 问题 区 段 (Question section) : 大 小 可 变 ， 包 含有 被 发 送 到 DNS 服务 器 的 一 条 或 
多 条 信息 查询 的 部 分 。 

口 回答 区 段 (Answer section) : 大 小 可 变 ， 含 有 用 来 回答 查询 的 一 条 或 多 条 资源 记 
录 。 

口 权威 区 段 (Authority section) : 大 小 可 变 ， 包 含 指 向 权威 域名 服务 器 的 资源 记录 ， 
用 以 继续 解析 过 程 。 


口 额外 信息 区 段 (Additional Information section) : 包含 资源 记录 且 大 小 可 变 的 区 段 ， 
这 些 资源 记录 用 来 存储 完全 没有 必要 回答 的 查询 相关 的 额外 信息 。 


16.3.2 ”分析 DNS 数据 包 


下 面 以 导出 的 数据 包 为 例 ， 分 析 DNS 数据 包 。 打 开 dns-qq.pcapng 捕获 文件 ， 将 显示 
如 图 16.12 所 示 的 界面 。 
A dns-qqpcapng [Wireshark 1.10.7 (v1.10.7-0-g6b931a1 from master-1.10)] 
Capture Anayze Statstics Telephony Ioos jntemak Hep 
巴 外 其 久 | 外国 于 和 QQQDI 醒 国 蝎 关 | 世 
[=] erpression.. Clear Apply Save 
Protocol Length Info 


jard query Ox1782 A www.qq.com | 
后 泽 尊 dard query response Ox1782 A11 
[ 四 5 


| 
© WI Fe: Hi\traces\dns-qq.p... | Packets: 2 * Displayed: 2 (100.0%) * Load time: 0:00.047 |Profie: Default 


图 16.12 ”dns-qq.pcapng 捕获 文件 


从 Wireshark 的 状态 栏 中 , 可 以 看 到 dns-qq.pcapng 捕获 文件 中 共有 两 个 数据 包 。 其 中 ， 
第 一 个 数据 包 是 DNS 查询 ， 第 二 个 数据 包 是 DNS 响应 。 下 面 分 别 对 这 两 个 数据 包 进 行 详 
细 介 绍 。 


1. DNS 查询 数据 包 
DNS 查询 数据 包 的 详细 信息 如 图 16.13 所 示 。 
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帮 dns-qqpcapng [Wireshark 1.10.7 (v1.10.7-0-g6b931a1 from master-1.10)] EA 
He Edt Vew Go Capture Anayze Statistics Telephony Ioos JIntemaks Hep 

人 加 大 本 着 | 巴 外 X 包 | 尽 e 中 国 下 业 得 忆 和 加 | 本 国电 其 | 思 
[=] epression- aear Appy Save 

rare Length Info 


9 Frame 1: 70 bytes on wire (560 bits), 70 bytes captured (560 bits) on inrerface 0 

田 Ethernet II, Src: Elitegro_3f:c3:e5 (00:19:21:3f:c3:e5), Dst: TendaTec_84:78:1e (c8:3a:35:84:78:1e) 
田 Internet Protocol Version 4, Src: 192.168.5.2 (192.168.5.2), Dst: 192.168.5.1 (192.168.5.1) 

User Datagram Protocol, Src Port: 51926 (51926), Dst Port: domain (53) 

@ Domain Name System (query) 


0000 c8 3a 35 84 78 le 00 19 21 3f c3 e5 08 

0010 00 38 02 ac 00 00 40 11 ec b5 c0 a8 05 
05 01 ca d6 00 35 00 24 dl ee 17 82 01 

0030 00 00 00 00 00 00 03 77 77 77 02 71 71 

0040 6d 00 00 01 00 01 

© | Fie: H:\taces\dns-qq.p... | Packets: 2 * Displayed: 2 (100.0%) * Load time: 0:00.047 Profie: Default 


图 16.13 DNS 查询 


该 数据 包 是 由 客户 端 192.168.5.2 通过 DNS 的 标准 端口 53, 发 向 服务 器 192.168.5.1 的 
DNS 查询 信息 。 在 Wireshark 的 Packet Details 面板 中 ， 可 以 看 到 该 数据 包 的 头 部 是 UDP 
协议 ， 说 明 DNS 是 基于 UDP 协议 工作 的 。 下 面 对 该 包 的 详细 信息 进行 介绍 ， 如 下 所 示 。 

Frame 1: 70 bytes on wire (560 bits), 70 bytes captured (560 bits) on interface 0 

以 上 信息 是 帧 头 部 的 详细 信息 。 其 中 ， 该 包 的 大 小 为 70 个 字 节 。 


Ethernet EE Gres Elitegro 3f:c3:e5 {00 T921362C3565) Dst: 
TendaTec 84:78:le (c8:3a:35:84:78:1e) 


以 上 信息 是 以 太 网 帧 头 部 的 详细 信息 。 其 中 源 MAC 地 址 为 00:19:21:3fc3:e5， 目 标 
MAC 地 址 为 c8:3a:35:84:78:le。 


Internet Protocol Version 4, Src: 192.168.5.2 (192.168.5.2), Dst: 
P92:168.51 (192.168:5-1} 


以 上 信息 是 IPv4 首部 的 详细 信息 。 其 中 源 卫 地 址 为 192.168.5.2， 目 标 IP 地 址 为 
192.168.5.1。 

User Datagram Protocol, Src Port: 51926 (51926), Dst Port: domain (53) 

以 上 信息 是 UDP 协议 首部 的 详细 信息 。 其 中 源 端口 号 为 31926， 目 标 端口 号 为 53。 


Domain Name System (query) 


以 上 信息 是 DNS 协议 的 详细 信息 。 从 该 行 信息 中 ， 可 以 看 到 是 一 个 DNS 查询 包 。 下 
面 对 该 包 进 行 详细 介绍 ， 如 下 所 示 。 


Domain Name System (query) #DNS 查询 
[Response In: 2] 
Transaction ID: 0x1782 #DNS ID 号 
Flags: 0x0100 Standard query # 标 志 
人 = Response: Message is a query 
# 响 应 信息 ， 该 值 为 0， 表 示 是 一 个 DNS 查询 
O00SOF TE = Opcode: Standard query (0) 间 操 作 代 码 
--- ..0. .... .... = Truncated: Message is not truncated 
# 截 断 


和 
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人 1 .... -..- = Recursion desired: Do query recursively 
# 期 望 递归 
Seeved (0 # 保 留 
TS 0 .... = Non-authenticated data: Unacceptable 
Questions: 1 # 问 题 计数 为 1 
Rnswer RRs: 0 ## 回 答 计数 为 0 
Ruthority RRs: 0 # 域 名 服务 器 计数 为 0 
Additional RRs: 0 # 额 外 计数 为 0 
Queries # 问 题 区 段 
www.qq-.com: type A, class IN 
Name: www.qq.com # 请 求 的 域名 为 www. qq. com 
Type: A (Host address) ## 域 名 类 型 为 六 〈 主 机 地 址 ) 
Class: IN (0x0001) ## 地 址 类 型 为 TIN( 互 联网 地 址 ) 


以 上 信息 就 是 DNS 协议 包 的 详细 信息 。 在 标志 字段 ， 可 以 看 到 该 包 是 一 个 DNS 请 求 
包 , 请 求 的 域名 为 www.qq.com, 类 型 为 A。 将 以 上 信息 对 应 到 DNS 报 文 格式 中 , 如 表 16-3 
所 示 。 


表 16-3 ”对 应 的 DNS 报 文 格式 (1) 
域 名 系统 


2. DNS 响应 数据 包 
DNS 响应 数据 包 如 图 16.14 所 示 。 


{ @ dns-qqpcapng [Wireshark 1107 (v1107-0-g6b9311 fom master-1.10)] esl) 
He Edt Vew Go Capture Anayze Statstxs Telephony Iook Intemas Hep 
OORTA|DSDOXSAP9HDOTFTL QQQDI 可 国电 其 | 加 


Fiker [=] epresson- Cear” Apply” Save 

Destination Protocol Length Info 

| > 352000 “192.168.。5 192. 168.5.2 DNS 102 standard query response Ox1782 A 11E 
站 


画 Frame 2: 102 bytes on wire (816 bits), 102 bytes captured (816 bits) on interface 0 

田 Ethernet II, Src: TendaTec_84:78:1le (c8:3a:35:84:78:1e), Dst: Elitegro_3f:c3:e5 (00:19:21:3f:c3:e5) 
田 Internet Protocol Version 4, Src: 192.168.5.1 (192.168.5.1), Dst: 192.168.5.2 (192.168.5.2) 

User Datagram Protocol, Src Port: domain (53), Dst Port: 51926 (51926) 

加 Domain Name System (response) 


图 16.14 DNS 响应 数据 包 


该 数据 包 响 应 了 第 1 个 数据 包 的 DNS 请 求 。 因 为 该 数据 包 拥有 的 唯一 标识 码 ， 和 第 1 
个 数据 包 的 唯一 标识 码 是 相对 应 的 。 下 面 对 该 数据 包 进 行 详细 介绍 ， 如 下 所 示 。 


.314。 
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Frame 2: 102 bytes on wire (816 bits), 102 bytes captured (816 bits) on 
interface 0 


以 上 信息 表示 这 是 第 2 个 数据 包 的 详细 信息 ， 并 且 该 包 的 大 小 为 102 个 字 节 。 


Ethernet 和 Se TendaTec 84:78:1le (c8:3a:35:84:78:1e), Dst: 
Elitegro 3f:c3:e5 (00:19:21:3f:c3:e5) 


以 上 信息 是 以 太 网 帧 头 部 信息 。 其 中 ， 源 MAC 地 址 为 c8:3a:35:84:78:le， 目 标 MAC 
地 址 为 00:19:21:3fc3:es。 


Internet Protocol Version 4, Src: 192.168.5.1 (192.168.5.1), Dst: 
Tb pe hr ph 


以 上 信息 是 IPv4 首部 的 详细 信息 。 其 中 ， 源 人 P 地 址 为 192.168.5.1， 目 标 IP 地 址 为 
192.168.5.2。 

User Datagram Protocol, Src Port: domain (53), Dst Port: 51926 (51926) 

以 上 信息 是 UDP 协议 首部 的 详细 信息 。 其 中 源 端 口号 为 33， 目 标 端口 号 为 51926。 

Domain Name System (response) 

以 上 信息 是 DNS 协议 的 详细 信息 。 从 该 行 信息 中 ， 可 以 看 到 这 是 一 个 DNS 响应 包 。 
下 面 对 该 包 中 的 信息 进行 详细 介绍 ， 如 下 所 示 。 


Domain Name System (response) #DNS 响应 
[Request In: 1] 
[Time: 0.016352000 seconds] #DNS 响应 时 间 
Transaction ID: 0x1782 #DNS ID 
Flags: 0x8180 Standard query response, No error # 标 志 
| RA .... = Response: Message is a response 
# 响 应 信息 ， 该 值 为 0， 所 以 这 是 DNS 响应 
GO 和 用 .... = Opcode: Standard query (0)# 操 作 码 
ee 0 sse a = Authoritative: Server 1s not an authority for 
domain # 权 威 应 答 
...。..0. .... .... = Truncated: Message is not truncated 
# 截 断 
.1 .... .... = Recursion desired: Do query recursively 
# 期 望 递归 
SS 1... .... = Recursion available: Server can do recursive 
queries # 可 用 递归 
0 = reserved (OF # 保 留 
Se te 0. .... = Answer authenticated: Answer/authority portion 
was not authenticated by the server 
ee 0 .... = Non-authenticated data: Unacceptable 
a de 0000 = Reply code: No error (0) # 响 应 代码 
Questions: 1 # 问 题 计数 为 1 
Answer RRs: 2 # 回 答 计数 为 2 
Authority RRs: 0 # 域 名 服务 器 计数 为 0 
Additional RRs: 0 # 和 额外 记录 计数 为 0 
Queries # 问 题 区 域 
www.qq-.com: type A, class IN 
Name: www.qq.com # 请 求 的 域名 
Type: A (Host address) # 域 名 类 型 
Class: IN (0x0001) 坦 地 址 类 型 为 IN (互联 网 地 址 ) 


“ls 
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Answers # 回 答 区 域 
www.qq-com: type A， class IN, addr 119.188.89.220  # 回 答 1 详细 信息 
Name: www.qq.com # 啊 应 的 域名 
Type: A (Host address) # 响 应 的 域名 类 型 
Class: IN (0x0001) # 响 应 的 域名 地 址 为 IN 
Time to live: 1 minute, 19 seconds # 生 存 时 间 
Data length: 4 # 数 据 长 度 


Addr: 119.188.89.220 (119.188.89.220) 


# 响 应 的 地 址 为 119.188.89.220 


www.qq.com: type A, class IN, addr 119.188.89.202 


# 回 答 2 详细 信息 
Name: www.qq.com # 响 应 的 域名 
Type: A (Host address) # 响 应 的 域名 类 型 
Class: IN (0x0001) # 响 应 的 域名 地 址 为 IN 
Time to live: 1 minute, 19 seconds # 生 存 时 间 
Data length: 4 # 数 据 长 度 


Adar: T19188-89-5202. (LL9-188-89-202} 


# 响 应 的 地 址 为 119.188.89.202 


以 上 是 DNS 响应 包 的 详细 信息 。 根 据 以 上 信息 的 详细 描述 ， 可 以 看 到 客户 端 请 


到 


域名 www.qq.com 的 两 个 地 址 ， 分 别 是 119.188.89.220 和 119.188.89.202。 以 上 包 的 详细 信 


息 对 应 到 DNS 报 文 格 式 中 ， 结 果 如 表 16-4 所 示 。 


表 16-4 对 应 的 DNS 报 文 格式 (2) 


“SI6" 
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HTTP 协议 (HyperText Transfer Protocol, 超 文 本 传输 协议 ) 是 万 维 网 (World Wide Web) 
的 传输 机 制 , 允许 浏览 器 通过 连接 Web 服务 器 浏览 网 页 。 目前 在 大 多 数 网 络 组 织 中 , HTTP 
流量 在 网 络 中 所 占 的 比率 是 最 高 的 。 本 章 将 介绍 HTTP 协议 抓 包 分 析 。 


17.1 HTTP 协议 概述 


HTTP (HyperText Transfer Protocol， 超 文本 传输 协议 ) 是 Web 系统 最 核心 的 内 容 ， 它 
是 Web 服务 器 和 客户 端 之 间 进 行 数据 传输 的 规则 。Web 服务 器 就 是 平时 所 说 的 网 站 ， 是 
信息 内 容 的 发 布 者 。 最 常见 的 客户 端 就 是 浏览 器 ， 它 是 信息 内 容 的 接收 者 。 本 节 将 介绍 
HTTP 协议 概述 。 


他 :1 什么 是 HTTP 


HTTP 协议 是 用 于 从 WWW 服务 器 传输 超 文 本 到 本 地 浏览 器 的 传送 协议 。 它 可 以 使 济 
览 器 更 加 高 效 ， 使 网 络 传输 减少 。 它 不 仅 保证 计算 机 正确 快速 地 传输 超 文 本 文档 ， 还 确定 
传输 文档 中 的 哪 一 部 分 ， 以 及 哪 部 分 内 容 首 先 显示 (如 文本 先 于 图 形 ) 等 。HTTP 是 一 个 应 
用 层 协议 ， 由 请 求 和 响应 构成 ， 是 一 个 标准 的 客户 端 服 务 器 模型 。HTTP 具有 以 下 儿 个 特点 。 
口 支持 客户 /服务 器 模式 ， 支 持 基 本 认证 和 安全 认证 。 
口 简单 快速 ,客户 端 向 服务 器 请 求 服务 时 ， 只 需 传 送 请 求 方法 和 路 径 。 请 求 方法 常 
用 的 有 GET、HEAD 和 POST。 每 种 方法 规定 了 客户 端 与 服务 器 联系 的 类 型 。 由 
于 HTTP 协议 简单 ， 使 得 HTTP 服务 器 的 程序 规模 小 ， 因 而 通信 速度 很 快 。 
口 灵活 : HTTP 人 允许 传输 任意 类 型 的 数据 对 象 。 正 在 传输 的 类 型 由 Content-Type 加 以 
标记 。 
口 HITP 0.9 和 1.0 使 用 非 持续 连接 : 限制 每 次 连接 只 处 理 一 个 请 求 ， 服 务 器 处 理 完 客 
户 的 请 求 ， 并 收 到 客户 的 应 答 后 ， 即 断 开 连 接 。 采 用 这 种 方式 可 以 节省 传输 时 间 。 
口 无 状态 : HITP 协议 是 无 状态 协议 。 无 状态 是 指 协 议 对 于 事务 处 理 没有 记忆 能 力 。 
缺少 状态 意味 着 如 果 后 续 处 理 需 要 前 面 的 信息 ， 则 它 必须 重 传 ， 这 样 可 能 导致 每 
次 连接 传送 的 数据 量 增 大 。 


17.1.2 HTTP 请 求 方法 


HTTP/1.1 协议 中 共 定 义 了 8 种 方法 〈 有 时 也 叫 “ 动 作 ”) 来 表明 Request-URI 指定 资 
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源 的 不 同 操作 方式 ， 如 下 所 示 。 


| 


日 


OOODODD 


OPTIONS: 返回 服务 器 针对 特定 资源 所 支持 的 HTTP 请 求 方法 。 也 可 以 利用 向 
Web 服务 器 发 送 “*” 的 请 求 来 测试 服务 器 的 功能 性 。 

HEAD: 向 服务 器 索要 与 GET 请 求 相 一 致 的 响应 ， 只 不 过 响应 体 将 不 会 被 返回 。 
这 一 方法 可 以 在 不 必 传输 整个 响应 内 容 的 情况 下 ， 就 可 以 获取 包含 在 响应 消息 头 
中 的 元 信息 。 

GET: 向 特定 的 资源 发 出 请 求 。 注 意 ，GET 方法 不 应 当 被 用 于 产生 “副作用 ”的 
操作 中 ,例如 在 Web App. 中 , 其 中 一 个 原因 是 GET 可 能 会 被 网 络 蜘蛛 等 随意 访问 。 
POST: 向 指定 资源 提交 数据 进行 处 理 请 求 〈 例 如 提交 表单 或 者 上 传 文件 ) 。 数 据 
被 包含 在 请 求 体 中 。POST 请 求 可 能 会 导致 新 的 资源 的 建立 和 /或 已 有 资源 的 修改 。 
PUT: 向 指定 资源 位 置 上 传 其 最 新 内 容 。 

DELETE: 请求 服务 器 删除 Request-URI 所 标识 的 资源 。 

TRACE: 回 显 服务 器 收 到 的 请 求 ， 主 要 用 于 测试 或 诊断 。 

CONNECT: HTTP/1.1 协议 中 预 留 给 能 够 将 连接 改 为 管道 方式 的 代理 服务 器 。 
PATCH: 用 来 将 局 部 修改 应 用 于 某 一 资源 ， 添 加 于 规范 RFC5789。 


在 大 部 分 情况 下 ， 只 会 用 到 GET 和 HEAD 方法 ， 并 且 这 些 方法 名 称 是 区 分 大 小 写 的 。 
当 某 个 请 求 所 针对 的 资源 不 支持 对 应 请 求 方法 的 时 候 , 服务 器 应 当 返 回 状态 码 405 (Method 
Not Allowed) ; 当 服 务 器 不 识别 或 者 不 支持 对 应 的 请 求 方法 的 时 候 ， 应 当 返 回 状态 码 501 
(Not Implemented) 。 


17.1.3 HTTP 工作 流程 


HTTP 是 一 个 无 状态 的 协议 。 无 状态 是 指 客户 端 (Web 浏览 器 ) 和 服务 器 之 间 不 需要 
建立 持久 的 连接 。 这 意味 着 当 一 个 客户 端 向 服务 器 端 发 出 请 求 ， 然 后 服务 器 返回 响应 “*” 
(response ) ,连接 就 被 关闭 了 。 服务 器 端 不 保留 连接 的 相关 信息 , HTTP 遵循 请 求 (Request) 
/应 答 (Response) 模型 。 客 户 端 〈 浏 览 器 ) 向 服务 器 发 送 请 求 ， 服 务 器 处 理 请 求 并 返回 适 


当 的 应 答 。 所 有 HTTP 连接 都 被 构造 成 一 套 请 求 和 应 答 。 在 该 过 程 中 要 经 过 4 个 阶段 ， 包 


括 建 立 连接 、 发 送 请 求 信息 、 发 送 响应 信息 和 关闭 连接 ， 如 图 17.1 所 示 。 


1. 建 立 连接 
2. 发 送 请 求 消息 
3. 发 送 响 应 消息 


4. 关闭 连接 


客户 端 服务 器 


图 17.1 HTTP 工作 流程 


下 面 详细 介绍 图 17.1 中 描述 的 HITP 工作 流程 ， 如 下 所 示 。 
(1) 客户 端 通过 TCP 三 次 握手 与 服务 器 建立 连接 。 
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(2) TCP 建立 连接 成 功 后 ， 向 服务 器 发 送 HTTP 请 求 。 
(3) 服务 器 收 到 客户 端的 HITP 请 求 后 ， 将 返回 应 答 ， 并 向 客户 端 发 送 数据 。 
(4) 客户 端 通过 TCP 四 次 握手 ， 与 服务 器 断 开 TCP 连接 。 


17.1.4 持久 连接 和 非 持久 连接 


浏览 器 与 Web 服务 器 建立 TCP 连接 后 ， 双 方 就 可 以 通过 发 送 请 求 消息 和 应 答 消 息 进 
行 数据 传输 。 在 HTTP 协议 中 ， 规定 TCP 连接 既 可 以 是 非 持 久 的 ， 也 可 以 是 持久 的 。 具 体 
采用 哪 种 连接 方式 ， 可 以 由 通用 头 域 中 的 Connection 指定 。 在 HTTP/1.0 版 本 中 ， 默 认 使 
用 的 是 非 持久 连接 ，HTTP/1.1 默认 使 用 的 是 持久 连接 。 


1. 非 持久 连接 


非 持 久 连 接 就 是 每 个 TCP 连接 只 用 于 传输 一 个 请 求 消息 和 一 个 响应 消息 。 用户 每 请 求 
一 次 Web 页 面 ， 就 产生 一 个 TCP 连接 。 为 了 更 详细 地 了 解 非 持 久 连 接 ， 下 面 简 单 介绍 一 
个 例子 。 

假设 在 非 持久 连接 的 情况 下 服务 器 向 客户 端 传送 一 个 Web 页 面 。 该 页 面 由 1 个 基本 
HTML 文件 和 10 个 JPEG 图 像 构 成 ,而 且 所 有 这 些 对 象 文件 都 存放 在 同一 台 服 务 器 主机 中 。 
再 假设 该 基本 HTML 文件 的 URL 为 http://www.example.cn/somepath/index.html， 则 传输 步 
又 如 下 所 示 。 

(1) HTTP 客户 端 首先 与 主机 www.example.cn 中 的 Web 服务 器 建立 TCP 连接 ，Web 
服务 器 使 用 默认 端口 号 80 监听 来 自 HTTP 客户 端的 连接 建立 请 求 。 

(2) HTTP 客户 端 通过 TCP 连接 向 服务 器 发 送 一 个 HTTP 请 求 消息 ， 该 消息 中 包含 路 
径 名 /somepath/index.html。 

(3) Web 服务 器 通过 TCP 连接 接收 到 这 个 请 求 消息 后 , 从 服务 器 主机 的 内 存 或 硬盘 中 
取出 对 象 /somepath/index.html， 然 后 向 服务 器 发 送 应 答 消息 。 

(4) Web 服务 器 告知 本 机 的 TCP 协议 栈 关闭 这 个 TCP 连接 。 但 是 TCP 协议 栈 要 到 客 
户 端 收 到 刚才 这 个 应 答 消 息 之 后 ， 才 会 真正 终止 这 个 连接 。 

(5) HTTP 客户 端 经 由 同一 个 套 接 字 接 收 这 个 应 答 消息 ，TCP 连接 就 断 开 了 。 

(6) 客户 端 根据 应 答 消息 中 的 头 域内 容 取 出 这 个 HTML 文件 ， 从 中 加 以 分 析 后 发 现 其 
中 有 10 个 JPEG 对 象 的 引用 。 

(7) 这 时 候 客 户 端 再 重复 步骤 (1) 一 (5) ， 从 服务 器 得 到 所 引用 的 每 一 个 JPEG 
对 象 。 

上 述 步 又 之 所 以 称 为 使 用 非 持 久 连 接 , 原因 是 每 次 服务 器 发 出 一 个 对 象 后 , 相应 的 TCP 
连接 就 被 关闭 。 也 就 是 说 每 个 连接 都 没有 持续 到 可 用 于 传送 其 他 对 象 ， 每 个 TCP 连接 只 用 
于 传输 一 个 请 求 消息 和 一 个 应 答 消息 。 就 上 述 例 子 而 言 ， 用 户 每 请 求 一 次 那个 Web 页 面 ， 
就 会 产生 一 个 TCP 连接 。 

实际 上 ， 客 户 端 还 可 以 通过 并 行 的 TCP 连接 同时 取得 其 中 某 些 JPEG 对 象 。 这 样 可 以 
大 大 提高 数据 传输 速度 ， 缩 短 响应 时 间 。 目 前 的 浏览 器 允许 用 户 通 过 配置 来 控制 并 行 连接 
的 数目 ， 大 多 数 浏览 器 默认 可 以 打开 5 一 10 个 并 行 的 TCP 连接 ， 每 个 连接 处 理 一 个 请 求 / 
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根据 以 上 例子 的 描述 ， 可 以 发 现 非 持 久 连 接 具 有 如 下 几 个 缺点 。 

(1) 客户 端 需要 为 每 个 待 请 求 的 对 象 建立 并 维护 一 个 新 的 TCP 连接 。 对 于 每 个 这 样 的 
连接 ，TCP 都 需要 在 客户 端 和 服务 器 端 分 配 TCP 缓冲 区 ， 并 维持 TCP 变量 。 对 于 有 可 能 
同时 为 来 自 成 千 上 万 个 不 同 客户 端的 请 求 提供 服务 的 Web 服务 器 来 说 ， 这 会 严重 增加 其 
负担 。 

(2) 对 于 每 个 对 象 请 求 都 有 两 个 RTT (Round-Trip Time， 往 返 时 延 ) 的 响应 延迟 。 一 
个 RTT 用 于 建立 TCP 连接 ， 另 一 个 RTT 用 于 请 求 和 接收 对 象 。 

(3) 每 个 对 象 都 要 经 过 TCP 缓 启动。 因为 每 个 TCP 连接 都 要 起 始 于 slow start 阶段 。 
使 用 并 行 TCP 连接 ， 能 够 减轻 部 分 RTT 延迟 和 缓 启动 的 影响 。 


2. 持久 连接 


持久 连接 是 指 服务 器 在 发 出 响应 后 可 以 让 TCP 连接 继续 打开 着 ， 同 一 对 客户 端 /服务 
器 之 间 的 后 续 请 求 和 响应 都 可 以 通过 这 个 连接 继续 发 送 。 不仅 整个 Web 页 面 (包含 一 个 基 
本 HTML 文件 和 所 引用 的 对 象 ) 可 以 通过 单个 持久 的 TCP 连接 发 送 ， 而 且 存放 在 同一 个 
服务 器 中 的 多 个 Web 页 面 也 可 以 通过 单个 持久 TCP 连接 发 送 。 

持久 连接 分 为 不 带 流水 线 和 带 流水 线 两 种 方式 。 如 果 使 用 不 带 流 水 线 的 方式 ， 那 么 客 
户 端 只 有 在 收 到 前 一 个 请 求 的 应 答 后 才 发 出 新 的 请 求 。 这 种 情况 下 ， 服 务 器 送出 一 个 对 象 
后 开始 等 待 下 一 个 请 求 ， 而 这 个 新 请 求 却 不 能 马上 到 达 ， 这 段 时 间 服 务 器 资源 便 闲 置 了 。 

HTTP/1.1 的 默认 模式 是 使 用 带 流水 线 的 持久 连接 。 这 种 情况 下 ，HTTP 客户 端 每 磁 到 
一 个 引用 就 立即 发 出 一 个 请 求 ， 因 而 HTTP 客户 端 可 以 一 个 接 一 个 紧 挨 着 发 出 对 各 个 引用 
对 象 的 请 求 。 服 务 器 收 到 这 些 请 求 后 ， 也 可 以 一 个 接 一 个 紧 挨 着 发 送 各 个 对 象 。 与 非 流水 
线 模 式 相 比 ， 流 水 线 模式 的 效率 要 高 得 多 。 


17.2 ”捕获 HTTP 数据 包 


在 上 一 节 对 HTTP 协议 进行 了 详细 介绍 。 接 下 来 将 通过 使 用 Wireshark 工具 捕获 HTTP 
数据 包 ， 并 详细 分 析 HITP 协议 工作 流程 中 每 个 包 的 详细 信息 。 


17.2.1 使 用 捕获 过 滤器 


HTTP 协议 工作 在 OSI 七 层 模型 中 的 应 用 层 。 当 客户 端 向 Web 服务 器 发 送 HTTP 请 求 
之 前 ， 首 先 要 经 过 TCP 三 次 握手 建立 连接 。TCP 建立 连接 成 功 后 ， 客 户 端 才 可 以 向 Web 
服务 器 发 送 HITP 请 求 。 然 后 Web 服务 器 响应 客户 端的 请 求 ， 最 后 关闭 TCP 连接 。 本 小 
节 将 使 用 TCP 捕获 过 滤器 ， 捕 获 HITP 协议 的 数据 包 。 

捕获 HITP 协议 数据 包 ， 有 具体 操作 步骤 如 下 所 示 。 

(1) 启动 Wireshark。 

(2) 在 Wireshark 主 界面 的 菜单 栏 中 依次 选择 CapturelOptions 命令 ， 或 者 单 击 工具 栏 
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中 的 图 (显示 捕获 选项 ) 图 标 打 开 Wireshark 捕获 选项 窗口 ， 如 图 17.2 所 示 。 


Capture Filter: 


Fie: |CAWiresharkAhttp.pcapng| Browse.. 园 Update list of packets in real time 


We ppg rs 加 Automatically scroll during live capture 


习 Next file every 1 > lmegabyte(s) ~ 
] Next file every 1 目 [rminwte(s) [-] 回 Hide capture info dialog 


] Ring buffer with = [2 目 Name Resolubon 
] Stop capture after 1 9 园 Resolve MAC addresses 


Stop Capture Automaticaly After... 回 R es 
1 packet(s) 

7 贺 Resolve transport-layer name 

四 |1 Imegabyte(s) | | 


[ 日 |minute(s) > 园 Use external network name resolver 


er 


图 17.2 ”捕获 选项 窗口 


(3) 在 该 界面 选择 捕获 接口 , 输入 捕获 过 滤器 及 捕获 文件 的 保存 位 置 , 如 图 17.2 所 示 。 
以 上 信息 配置 完 后 ， 单 击 Start 按钮 ， 将 显示 如 图 17.3 所 示 的 界面 。 


leo@andls 人 eSlaAae 人 OFT 下 | 国 上 QQQAD » 
Fiter || [=] tpression. cear Apply Save 
INo. Time Source Destination Protocol 


图 17.3 开始 捕获 TCP 数据 包 


(4) 从 Wireshark 的 状态 栏 中 ， 可 以 看 到 目前 还 没有 捕获 到 任何 数据 包 。 说 明 当 前 系 
统 中 , 没有 运行 任何 TCP 协议 的 程序 。 这 里 通过 在 浏览 器 中 访问 www.baidu.com 网 站 以 捕 
获 TCP 协议 数据 包 。 当 成 功 访问 www.baidu.com 网 站 后 ， 返 回 到 Wireshark 界面 停止 捕获 
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数据 包 ， 将 显示 如 图 17.4 所 示 的 界面 。 


hetp pcapng [wireshark 1107 (v1107-0-96b931a1 from master-110)] l= 
Ele Edt Vew Go Capture Anayze Staistics Telephony Took Intemas Hep 
oO@aual SOXS “TF | 国 国 Qaao 古国 昌 其 | 加 


Fiher 加 epresson- cear Apply Save 


192-168-5 
| 0363000 192.168. 5.2 1 
| 30.000432000 192.168.5.2 119.188.9.40 Tcp 54 49419 > ee ee rr 
4 0.000534000 192.168.5.2 61.135.185.194 TCP 54 49417 > hrrp [FIN, ACK] Seq=1 Ack=1 Wil 
| 5 0.000756000 192.168.5.2 123.125.114.101 TCP 54 49420 > hrrP [FIN, ACK] Seq=1 Ack=1 wil || 
| 60.041251000 192.168.5.2 61.135.169.125 。 TCP 56 49524 > hrrp [SYN] seq-o win-8192 Lenr' 
7 0.041547000 192.168.5.2 61.135.185.194 Tcp 56 49525 > http [SYN] seq-0 win=8192 Len= 
| 8 0.052195000 61.135.185.194 192.168.5.2 TCP 66 http > 49525 [SYN, ACK] Seq=0 Ack=1 wil 
由 9 0.052299000 192.168.5.2 61.135.185.194 TCP 54 49525 > htrtp [ACK] -1 Ack=1 win=171 
10 0.052421000 192.168.5.2 123.125.114.101 TCP 66 49526 > http [SYN] seq-0 win=8192 Len= 
11 0.052785000 192.168.5.2 119.188.9.40 TcPp 66 49527 > http [SYN] seq-0 win-8192 Len= 
12 0.054002000 61.135.169.125 192.168.5.2 TCP 66 http > 49524 [SYN, ACK] Seq=0 Ack=1 wil 
13 0.054119000 192.168.5.2 61.135.169.125 TCP 54 49524 > htrp [ACK] Seq=1 Ack=l Win=171 
14 0.054348000 192.168.5.2 61.135.169.125 HTTP ~ 500 GET / HTTP/1.1 - 
a 站 ， 


||®@ | Fie: “ZAhttp.pcapng" 55… | Packets: 158 * Displayed: 158 (… FRR Defauk 
图 17.4 捕获 到 的 TCP 数据 包 


(5) 在 该 界面 可 以 看 到 ,捕获 到 了 大 量 TCP 协议 数据 包 。 其 中 , 第 14 帧 是 一 个 HTTP 
协议 数据 包 。 根 据 前 面 的 介绍 ， 可 以 确定 在 14 帧 之 前 进行 了 TCP 三 次 握手 。 这 时 候 ， 可 
以 通过 对 数据 包 进行 过 滤 或 着 色 高 亮 显示 ， 对 HTTP 包 进 行 详细 分 析 。 

在 http.pcapng 捕获 文件 中 ， 捕 获 到 了 GET 和 HEAD 方法 的 HITP 数据 包 。 因 为 这 两 
种 方法 , 一 般 访问 的 Web 服务 器 上 都 可 以 捕获 到 。 但 是 如 果 想 要 捕获 其 他 方法 的 HTTP 数 
据 包 , 就 需要 针对 不 同 的 Web 服务 器 了 , 如 POST 方法 。 如 果 要 捕获 POST 方法 的 数据 包 ， 
需要 通过 提交 表单 或 上 传 文件 才 可 以 捕获 到 。 所 以 ， 用 户 可 以 通过 访问 一 些 邮 箱 服务 器 以 
捕获 数据 包 ， 如 163 邮箱 、236 邮箱 等 。 大 部 分 用 户 可 能 一 般 习 惯 使 用 QQ 邮箱 ， 并 且 登 
录 也 方便 。 但 是 该 邮箱 使 用 的 是 https 协议 , 而 不 是 http 协议 。 下 面 演示 部 分 POST 方法 的 
HTTP 数据 包 。 

(1) 启动 Wireshark 工具 。 

(2) 设置 捕获 选项 窗口 ， 和 图 17.2 所 示 的 一 样 。 设 置 完成 后 ， 启 动 Wireshark 开始 捕 
获 数据 。 

(3) 这 时 候 在 浏览 器 中 输入 mail.163.com 地 址 , 并 输入 邮箱 账户 和 密码 登录 163 邮箱 。 

(4) 成 功 登录 163 邮箱 后 ， 返 回 Wireshark 界面 并 停止 捕获 ， 将 看 到 如 图 17.5 所 示 的 
界面 。 


{http-mailpcapng [Wireshark 1107 (wL107-0-g6b931al from master-1.10)] [= 
Fle Edt Vew Go Capture Anayze Statstcs Telephony Toos Intemas Hep 
外加 看 古 近 | 巴巴 其 匈 | 扩 9 当 四 字 业 | 国 国 QeQDlI 要 加 昌 > 


| Expression.. Clear Apply Save 


20. 1 5。 96. 120 Seq=0 
|| 3 0.057393000 96.7.54.120 192.168.5.2 TCP 66 hrrp > 50368 Fn ACK] | 
4 0.057523000 192.168.5.2 96.7. 54.120 TCP 54 50368 > http [ACK] Seq=l A 
5 0.063987000 96.7.54.120 192.168.5.2 Tp 66 http > 50369 [SYN, ACK] Se 
| 6 0.064055000 192.168.5.2 96.7.54.120 Tp 54 50369 > http [ACK] Seq=l A 


| 7 0.083141000 192.168.5.2 96.7.54.120 HTTP 659 GET /qsm1.aspx?query=ma&ma 
9 0.147868000 96.7.54.120 192.168.5.2 TP 60 http > 50368 [ACK] Seq=1 A 


11 0.238248000 192.168.5.2 96.7.54.120 HTTP 660 GET /qsm1. aspx?query=mai&m 
ES ENE TE EJ TT TT PTS BE TE EE rE ra TT 


问 » 


© Fle: Zz:\http-mal.pcapng" 422 kB 00... | Packets: 1016 * DspByed: 1016 (100.0%,... | Profie: Default 


图 17.5 捕获 到 的 数据 包 


2 


第 17 章 HTTP 协议 抓 包 分 析 


(5) 以 上 就 是 捕获 到 POST 方法 的 捕获 文件 。 如 果 想 查看 所 有 POST 方法 的 HITP 数 
据 包 ， 需 要 使 用 显示 过 滤器 过 滤 显示 。 使 用 显示 过 滤器 的 方法 ， 将 在 后 面 进行 介绍 。 


17.2.2 ”显示 过 滤 HTTP 协议 包 


为 了 帮助 用 户 更 清楚 地 分 析 HTTP 包 ， 下 面 将 介绍 通过 使 用 显示 过 滤器 对 http pcapng 
捕获 文件 中 的 数据 包 进行 过 滤 。 
(1) 打开 http.pcapng 捕获 文件 ， 将 显示 如 图 17.6 所 示 的 界面 。 


属 http pcapng [Wireshark 1107 (vL107-0-96b931al from masterl10 可 (ois i 
Ble Edt Vew Go Capture Anayze Statstxs Telephony IToos Intemaks Hep 

司 加 大 三 着 | 巴 四 其 多 | 人 9 洛 加 守业 | 四 国 QQQDI 本 四 网 其 | 马 
Fiher [=] epression.. Clear Apply Save 

Destination 


Ck=] 

192. 119. 40 
192. 61.135.185.194 日 
192. 123.125.114.101 TCP 54 49420 > http [FIN, ACK] Seq=l 
192. 61.135.169.125 TcP 66 49524 > http [SYN] Seq=0 Win=8192 Len=! 
192. 61.135.185.194 TCP 66 49525 > http [SYN] Seq=0 Win=8192 Len=l 
61.135.185.194 192.168. 5.2 Tp 66 htrp > 49525 [SYN, ACK] Seq=0 Ack=1 wil || 
192.168.5.2 61.135.185.194 TCP 54 49525 > http [ACK] Seq=l Ack=1 Win=171 
192.168.5.2 123.125.114.101 TCP 66 49526 > http [SYN] Seq=0 Win=8192 Len=! 
192.168.5.2 119.188.9.40 Tp 66 49527 > hrrp [SYN] Seq=0 Win=8192 Len=l 
61.135.169.125 192.168.5.2 TCP 66 http > 49524 [SYN, ACK] Seq=0 Ack=1 Wil 
192.168.5.2 61.135.169.125 TCPp 54 49524 > htrp [ACK] Seq=l Ack=1 Win=171 
192.168.5.2 61.135.169.125 HTTP 500 GET / HTTP/1.1 ed 

» 


图 17.6 ”http.pcapng 捕获 文件 


(2) 该 界面 显示 了 http.pcapng 捕获 文件 中 的 内 容 。 这 里 首先 通过 着 色 ， 高 亮 显示 一 个 
完整 的 会 话 。 前 面 提 到 14 帧 成 功 建立 了 HTTP 连接 ， 此 时 通过 对 该 数据 帧 进行 着 色 ， 找 出 
一 个 完整 的 HTTP 连接 会 话 。 

(3) 在 图 17.6 中 ， 选 择 14 帧 并 单 击 右键 ， 将 弹出 如 图 17.7 所 示 的 菜单 。 

(4) 在 该 菜单 中 选择 Colorize Conversation 选项 ， 对 数据 包 进 行 着 色 。 这 里 选择 TCP 
协议 的 第 2 种 颜色 ， 如 图 17.8 所 示 。 选 择 Color2 后 ， 将 显示 如 图 17.9 所 示 的 界面 。 


ak Packest (toogle) 
Mark Packet (toggle) onore Packat toggle) 
Ionore packet (toggle) © Set Tme Reference (togge) 
© Set Time Reference (toggle) © Tme set 
© Time shift. pcet Comment. 
及 Packet Comment… Manualy Resoke Address 
AppYy 2 Feer » 
Manualy Resoe Address prepae 2 FEar 
Converaton Fer 
Apply as Fiter » I ; 
Prepare a Fiter » sc 
Conversation Fiter » Folbow TCP Soeam Ta S 
Colorze Conversation » 有 SEE Ss ’ 
SCcTP » | PN-CBA Ssrver » 
Folow TCP Stream SN 
Follow UDP Stream Protocol praferences 
Folow SSL Stream 各 Decode As... 
ormt 
Copy Ls Show Packet n New Wndow 
Protocol Preferences » 
各 Decode As... 
print... 
Show Packet n New Wndow 
17.7 右键 菜单 图 17.8 选择 着 色 颜色 


ss 
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hppcapng MWireshark1107 Cl107-0-g6b9alalfrommasterliml 

Ele Edt View Go Capture Anayze Statistics Telephony Iook Jntemaks Hep 

ITTYTIEELIESITTII RIL 
[pression-. Olear Apply Save 


61.135.185.194 TCP 
123.125.114.101 TCP 


0000 C8 3a 35 84 78 le 00 19 于 于 cj e5 08 00 45 00 3 1 


aN _AN Ne NF on sn no 4 


全 时 [Ra to oad of capture | packet 156 Denbyedr 158 (100.05%) ~ [CCC | profie: Defeuk 


图 17.9 高 亮 显示 的 数据 包 


(5) 此 时 ， 就 可 以 通过 高 亮 显示 的 颜色 ， 判 断 出 和 14 帧 是 同一 个 会 话 的 数据 包 了 。 

本 例 中 ， 属 于 同一 个 会 话 的 数据 包 有 6、12 一 14 帧 等 。 通 过 高 亮 显示 ， 虽 然 可 以 找 出 一 个 

会 话 中 的 数据 包 , 但 是 这 些 数据 包 ， 不 都 是 相 邻 的 ， 不 好 对 照 地 来 分 析 。 这 时 候 使 用 下 地 
址 的 过 滤器 进行 过 滤 ， 如 图 17.10 所 示 。 

httppcapng IWiresharke 1107 (W1107-0-96b93lalfiom master110] 蔬 吕 屋 二 | 


Ele Edt View Go Capture Anayze Statstics Telephony Ioos jntemas Hep 
@@ 首 硬 芝 | 巴 鱼 其 人 | 六 ee 史 国 守业 | 辕 国 QQ 上 | 硬 回 昌 基 ， 


Pr eens dies [epee an on mn 


INo. Time Destination Protocol Length Info < 
工 0.000000000 1 is.5.2 61.135.169.125 TCP 54 49416 > http [FIN, ACK] Seq"| 
1.135.; rc [SYN] 0 Wir 三 


1 
@ W | Fie: “zi\http.papng" 53... | Packets: 158 . Dspbyed: 48 (30.4%) * Load time: 0:00.015 | Profie: Defauk 


图 17.10 显示 过 滤 的 数据 包 


(6) 从 该 界面 可 以 清楚 地 看 到 整个 会 话 中 所 有 的 数据 包 。 这 时 候 ， 可 以 根据 TCP 的 标 
志 位 来 判断 出 6、12、13 帧 是 TCP 三 次 握手 的 数据 包 。 如 果 用 户 仅 想 查看 HTTP 协议 数据 
包 的 话 ， 可 以 使 用 http 显示 过 滤器 查看 。 过 滤 显 示 的 结果 ， 如 图 17.11 所 示 。 

(7) 从 该 界面 的 颜色 ， 可 以 看 到 14、50 帧 是 成 功 建立 HTTP 连接 的 数据 包 。 其 中 ， 
14 帧 是 客户 端 向 服务 器 发 送 的 HTTP 请 求 ，50 帧 是 服务 器 响应 客户 端的 包 。 

在 前 面 提 到 在 HTTP/1.1 中 有 8 种 请 求 方法 ， 用 户 也 可 以 使 用 显示 过 滤器 过 滤 各 种 方 
法 的 数据 包 。 下 面 以 http pcapng 捕获 文件 为 例 ， 介 绍 使 用 显示 过 滤器 过 滤 HTTP/1.1 中 不 


.324 。 
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同方 法 的 数据 包 。 
TITLE 


Fe Edt View Go Capture Anayze Statstics Telephony IToos Intemas Hep 
dlAlDDDXSlAe 人 OFT | 国 QQaQa0l 田 罗 关 | 加 


pe ao tooy smn 


Time 


@” Ready to load or capture | Packets: 158 * Displayed: 15 (9.5%) * Load tme: 0:00.015 | Profle: Defauk 
图 17.11 显示 过 滤 的 HTTP 数据 包 


(1) 打开 http.pcapng 捕获 文件 ， 将 显示 如 图 17.12 所 示 的 界面 。 
hppapng wireshekll07 vl070g6b93lalfommanerll | 


Ee Edt Vew Go Capture Anayze Statstcs Telephony Toog Intemas Hep | 
回 @@ 大 是 帮 | 巴 外 X 凶 | 六 9 呈 于 和 | 国 加 QQ 可 回电 基 | 加 | 

本 2 才 ee [Eeepression. Clesr Apply save | 
Protocol Length Info 


|®@ | Fle: Zi\http.papng’ 53… | Packets: 158 * Displayed: 158 (… | Profie: Defauk 


17.12 ”http.pcapng 捕获 文件 


(2) 使 用 http.request.method 显示 过 滤器 ， 过 滤 GET 方法 的 HTTP 数据 包 。 在 显示 过 
滤器 区 域 输入 http requestmethod==GET， 然 后 单 击 Apply 选项 ， 将 显示 如 图 17.13 所 示 的 


| 下 回 着 硬 拓 | 巴 四 其 包 | 驻 和 国 于 业 | 国 加 @Q 人 | 瑟 国 昌 共 | 


ron [RS [| eowdon co nooy sm 


o. Time _protocol Length Info 


@ | Fie: zhttp.papng" 53 kB 00:00:22 | Packets: 158 * Displayed: 5 (3.2%) * Load tme: 0... | Profie: Defauit 


17.13 ”GET 方法 的 数据 包 


“es 
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(3) 从 Wireshark 的 Packet List 面板 中 的 Info 列 ， 可 以 看 到 所 有 包 都 使 用 的 是 GET 方 


法 。 在 Wireshak 的 状态 栏 中 ， 可 以 看 到 共有 5 个 包 匹 配 http.request.method 一 GET 显示 过 


下 面 以 前 面 捕获 到 的 http-mail.pcapng 捕获 文件 为 例 ， 介 绍 过 滤 POST 数据 包 的 方法 。 


单 击 Apply 选项 ， 


打开 捕获 文件 http-mail.pcapng 捕获 文件 ， 将 显示 如 图 17.14 所 示 的 界面 。 
ee | 


C1) 


A http-mailpcapng [Wireshark 1.10.7 (v1.10.7-0-g6b931a1 from master-1.10)] 
Ele Edt Vew Go Capture Anayze Statstics Telephony IToos Intemas Hep 
old|D 人 SADT 四 Naaanl 匡 四 > 


™ | Expression.. Clear Apply Save 


Protoc: 
TCF 


ol Length Info 


342000 


20. p Seq: 

3 0.057393000 7 66 http > 50368 [SYN, ACK] se 
4 0.057523000 TcP 54 50368 > http [ACK] Seq=l A 
5 0.063987000 96.7.54.120 192.168.5.2 TcP 66 hrrp > 50369 [SYN, ACK] se 
6 0.064055000 192.168.5.2 96.7. 54.120 TCP 54 50369 > http [ACK] Seq=l A 
7 0.083141000 192.168.5.2 96.7.54.120 HTTP 659 GET /qsm1.aspx?query=ma&ma 
9 0.147868000 96.7.54.120 192.168.5.2 TCP 60 http > 50368 [ACK] Seq=l A 
11 0.238248000 192.168.5.2 96.7.54.120 HTTP 660 GET /qsm].aspx?query=maiém 


I@© 加 Fie: "Z:\http-mai.pcapng” 422 kB 00... Packets: 1016 * Dispbyed: 1016 (100.0%... | Profie: Defauk 


图 17.14 ”http-mail.pcapng 捕获 文件 


(2) 在 Wireshark 显示 过 滤器 区 域 输入 http.request.method==POST 显示 过 滤器 ， 然 后 


将 显示 如 图 17.15 所 示 的 界面 。 


http-mailpcapng [Wireshark 1.10.7 (v1.10.7-0-g6b931a1 from master-1.10)] 
Ee Edt Vew Go Capture Anayze Sratstcs Telephony Too5 Intemas Hep 
回回 看 硬 古 | 记名 X 包 信忠 他 业 四 加 QQ 人 DlI 可 四 昌 区 | 台 


|] Expression.. Clear Apply Save 


[= /© ms 


No. Source Destination 


272 12.435059 2 
345 13.669397000 192.168. 
429 15.753764000 192.168. 
542 16. 513015000 192.168. 
890 20. 913086000 192.168. 
908 21.077779000 192.168. 
911 21.080025000 192.168. 
943 21.825880000 192.168.5.2 


Frame (90 bytes) | Reassembled TCP (2810 bytes) | 
© 靳 Fie: "2Z:\http-mai.pcapng” 422 kB 00... | Packets: 1016 * Displayed: 8 (0.8%) * Load time: 0:00.... 
\ 


2 123.125. 50.26 
2 123.125. 50.26 
2 123.125. 50.26 
2 123. 58.181.139 
2 

2 


273 PosT /js6/w?sid 
191 POST /cometd?1409898257624 HTTP/1.1 ( 
357 POST /comerd?1409898261306 HTTP/1.1 ( 
232 PosT /comerd?1409898261308 HTTP/1.1 ( 
232 PosT /comerd?1409898262018 HTTP/1.1 ( 

， 


。 123. 58.181.139 
123. 58.181.139 


123. 58.181.139 


Profile: Defauk 


图 17.15 POST 方法 的 数据 包 


(3) 从 Wireshark 的 Packet List 面板 中 ， 可 以 看 到 Info 列 中 所 有 包 都 使 用 的 是 POST 


方法 。 在 Wireshark 状态 栏 中 ， 可 以 看 到 共有 8 个 数据 包 匹 配 http requestmethod==POST 


17.2.3 ”导出 数据 包 


为 了 更 方便 地 分 析 数 据 包 ， 将 一 个 完成 HITP 连接 的 数据 包 导出 。 通 过 上 一 小 节 使 用 


“6s 
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显示 过 滤器 对 数据 进行 显示 过 滤 ， 可 以 确定 一 个 会 话 中 的 数据 包 。 下 面 将 介绍 如 何 导出 整 
个 会 话 中 的 数据 包 。 

(1) 打开 http.pcapng 捕获 文件 ， 如 图 17.16 所 示 。 
人 人 happcapng Wireshark1107 wlL107-0-g6be3lalfommesterllil [证 
Hle Edt Vew Go Capture Anayze Statstics Telephony Toos Intemas Hep 
国峰 大村 拓 | 马 外 其 人 | 尽 刘 宁国 守业 | 四 国人 DI 本 加 凤 关 | 
Fher | [=) erpression. Clear Apply Save 


~ 54 49418 > http [FIN, ACK] Seq= 

.188.9. 54 49419 > http [FIN，ACK] Seq= 
61.135.185.194 TCP 54 49417 > http [FIN, ACK] Seq= 

一 ER 2032 [FIN, AcKk] Seq 


10 0.052421000 
11 0.052785000 


图 17.16 ”http.pcapng 捕获 文件 


(2) 通过 前 面 对 该 捕获 文件 进行 显示 过 滤 ， 可 以 知道 6、12、13、14、50 帧 是 同一 个 
会 话 中 的 数据 包 。 虽然 在 该 会 话 中 还 有 其 他 的 数据 包 ， 但 都 是 关于 TCP 协议 的 包 。 在 前 面 
已 经 对 TCP 协议 进行 详细 介绍 ， 所 以 这 里 不 再 进行 分 析 。 这 里 将 成 功 连接 HTTP 连接 的 主 
要 数据 包 ， 进 行 导出 。 

(3) 在 图 17.16 中 依次 选择 File|Export Specified Packets... 命 令 , 将 打开 如 图 17.17 所 示 
的 界面 。 


week 
保存 在 DD: 上 treees - Oop 
| =、 个 改 日 央 
png M025 a 
| Sdhcppcapng DIT2 1045 
dhcpporpcapng 2014/8/23 16:55 
Siemppcapng Rh 
EE icmp-unreachable.pcapng 2014/9/1 15:30 
Bippapag 2014/8/27 1330 
Tip-fragment.pcapng 2014/8/28 15:52 
网。 号 cppcapne 2014/8/30 14:13 
寺 算 员 Ttep-break pcapng 2014/8/30 18:16 
一 一 
多 文件 名 中 Mtp-session peapng ” 
OC 


图 17.17 设置 导出 包 选项 


~ 
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(4) 在 该 界面 Packet Range 栏 中 选择 Range 选项 ， 输 入 导出 的 包 范 围 。 然 后 指定 捕获 
文件 的 位 置 及 文件 名 ， 并 单 击 “ 保 存 ” 按 钮 ， 即 可 完成 数据 包 导 出 。 用 户 可 能 发 现 没有 导 
出 第 50 个 数据 帧 ，50 帧 是 服务 器 响应 给 客户 端的 数据 包 。 在 该 包 中 包括 了 大 量 的 信息 ， 
由 于 该 包 大 小 超过 了 一 个 TCP 数据 包 的 MSS (一 般 情况 下 该 值 为 1460) ， 所 以 需要 分 多 
个 包 进行 传输 。 此 时 如 果 选 择 导出 该 包 ， 在 导出 的 捕获 文件 中 看 到 的 信息 也 不 完整 。 在 
Wireshark 的 Packet List 面板 中 的 Info 列 ， 将 看 到 显示 的 信息 为 [TCP Previous segment not 
captured] Continuation or non-HTTP traffic 或 [TCP segment of a reassembled PDU] 等 。 如 果 是 
HTTP 包 ， 则 显示 为 [TCP Previous segment not captured] Continuation or non-HTTP traffic; 
如 果 是 TCP 包 ， 则 显示 为 [TCP segment of a reassembled PDU]， 如 图 17.18 所 示 。 


http-session.pcapng [Wireshark 1.107 (v1.10.7-0-g6b931a1 from master-1.10)] (=. © 
Ele Edt View Go Capture Anayze Statstics Telephony TIook Intemaé Hep 
加 四 着 硬 帮 | 巴 四 X 久 | 以 9 中字 业 | 四 加 QQ 人 DODI 贡 加 网 其 | 加 


Fer [=) Expression.. Clear Apply Save 

No， Time Source Destination Protocol Int 
10. 192.168.5.2 61.135.169.125 TCPp 66 49524 > http [SYN] Seq=0 Win=8192 
2 0.012751000 61.135.169.125 192.168.5.2 TCP 66 http > 49524 [SYN, ACK] Acks 
3 0.012868000 192.168.5.2 61.135.169.125 TCPp 54 49524 > hetp [Ackj Seqrl Ackrd Wir 


4 0.013097000 192.168.5.2 61.135.169.125 HTTP 500 GET / Cie 
052196000 61.135.169.12 92.168. 5.2 HTTF 8 CP Previou 


田 Frame 5: 784 bytes on wire (6272 bits), 784 bytes captured (6272 bits) on interface 0 
田 Etherner II, Src: TendaTec_84:78:1le (c8:3a:35:84:78:1e), Dst: Elitegro_3f:c3:e5 (00:19:21:3f:c: 
田 Internetr protocol Version 4, Src: 61.135.169.125 (61.135.169.125), Dst: 192.168.5.2 (192.168.5. 
日 Hypertext Transfer Protocol 
© Data (730 bytes) 
Data: 1b0958a52d1206dbcc2c49ad7a248a8e62c4d59fe53d2b32.. 


l [Length: 730] 本 


‘| 加 


© | Hypertext Transfer Prot... | packets; 5 . Dspbyed: 5 (100.0%) * Load time: 0:00.046 profile: Defauk 


图 17.18 服务 器 响应 客户 端的 包 详细 信息 


(5) 从 Wireshark 的 Packet Details 面板 中 ， 可 以 看 到 HTTP 协议 的 包 详 细 信 息 中 只 显 
示 了 数据 包 的 大 小 ， 没 有 其 他 字段 信息 。 这 样 也 不 能 够 对 该 数据 包 进行 详细 分 析 。 所 以 ， 
这 里 不 建议 将 该 数据 包 导 出 。 如 果 要 导出 的 话 ， 需 要 将 所 有 分 段 的 数据 包 都 导入 到 一 个 捕 
获 文 件 中 。 如 果 分 段 数 据 包 过 多 的 话 ， 用 户 可 以 直接 在 开始 捕获 的 捕获 文件 中 本 例 中 是 
http.pcapng 捕获 文件 中 的 50 帧 ) 进行 分 析 。 


全 注意 : 在 指定 导出 包 的 范围 时 ， 中 间 使 用 过 号 分 开 ， 而 不 是 点 。 另 外 在 导出 数据 包 时 ， 
可 能 发 现 导出 的 数据 包 不 完整 。 这 是 因为 该 数据 包 过 大 ， 进 行 了 分 段 。 所 以 ,分 
成 了 好 多 个 包 。 用 户 在 导出 包 时 ， 可 以 通过 查看 包 的 详细 信息 ， 查 看 是 否 经 过 了 
分 段 。 


通常 在 导出 数据 包 时 ， 可 能 都 发 现 数据 包 被 分 段 的 情况 。 下 面 介绍 如 何 查看 一 个 数据 
包 是 否 进行 了 分 段 。 

如 在 http.pcapng 捕获 文件 中 ，50 帧 数据 进行 了 分 段 。 这 些 分 段 具 体 在 哪些 数据 包 中 ， 
用 户 可 以 选择 该 数据 包 ， 并 查看 Packet Details 面板 中 的 详细 信息 ， 如 图 17.19 所 示 。 
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{http.pcapng [Wireshark 1107 (v1.107-0-g6b931a1 from master-110)] 
Ee Edt Vew Go Capture Anayze Statstics Telephony Too5 Intemas Hebp 
dO 和 太 | 忆 风光 多 | 和 外 呈 守 主因 国 QQQ 吕 | 西田 易 关 | 他 


Fiker: [= spression.. Clear Apply Save 
INo. Time Source Destination Protocol Length Info 一 
50 0.093447000 61.135.169.125 192.168. 5.2 HTTP 784 HTTP/1.1 200 Ok (text/htm1) ~ 


_. 本 上 


Frame 50: 784 bytes on wire (6272 bits), 784 bytes captured (6272 bits) on interface 0 


一 一 一 


Pome C70 bytes)| Reassembled TCp (21352 bytes) [De-chunked Cr body (20877 bytes) | Uncompressed entiy body (78685 bytes)| 
图 本 | Tp Segments (tcp.seoments), 213... | Packets: 158 . Dsplayed: 158 (100.0%) * Load tme: 0:00.053 | Profie: Default 


图 17.19 ”被 分 段 的 数据 包 


在 该 界面 的 Packet Details 面板 中 ， 可 以 看 到 7 行 信息 。 其 中 ， 第 5 行 就 是 TCP 被 分 
段 的 数据 包 详 细 信 息 。 从 该 行 信息 中 (16 Reassembled TCP segments (21352 bytes) ) 可 
以 看 出 ， 该 数据 包 被 分 成 了 16 个 TCP 段 ， 后 面 显 示 了 这 些 段 所 在 的 包 及 大 小 。 

为 了 方便 用 户 对 其 他 方法 的 数据 包 进 行 详细 分 析 ， 下 面 以 POST 方法 为 例 ， 介 绍 将 
POST 方法 的 数据 包 导 出 。 

(1) 打开 http.mail.pcapng 捕获 文件 。 

(2) 在 该 捕获 文件 中 ， 首 先 使 用 显示 过 滤器 过 滤 出 所 有 POST 方法 的 数据 包 ， 显 示 界 
面 如 图 17.20 所 示 。 

| http-mailpcapng [wireshark1107 (v1107-0-g6b931a1 fom master-110)] ESG 


| Ele Edt View Go Capture Anayze Statistics Telephony Ioos jntemak Hep 
四 @ 基 是 世 | 扬 饭 基 包 | 扩 9 中 国 守业 | 回国 QQ 久 | 可 回 罗 基 | 加 


pn [setson ao ny se 
Protoc 


. ne Source Destination 


4 69397000 .168.5. HTTP 
429 15: 753764000 192.168.5.2 123: 125: 50. 26 HTTP 
.2 123.125. 50.26 HTTP 
890 20. 913086000 192. 168. 5.2 123.58.181.139 HTTP 191 POST /cometd?1409898257624 HTTP/1. 
HTTP 
HTTP 
HTTP 


1 (applicatio 
908 21.077779000 192.168.5.2 123.58.181.139 357 POST /cometd?1409898261306 HTTP/1.1 (application| 
911 21.080025000 192.168.5.2 123. 58.181.139 232 POST /cometd?1409898261308 HTTP/1.1 (application| 

1 (application| 


4 21.825880000 192.168.5.2 123.58.181.139 232 POST /cometd?1409898262018 HTTP/1. 


» 


© MM| Fle: Z:\http-mai.pcapng" 422 kB 00... | Packets: 1016 * Displayed: 8 (0.8%) * Load tme: 0:00.046 Profie: Defauk 


图 17.20 过滤 显示 POST 方法 的 HTTP 请 求 包 


(3) 从 该 界面 可 以 看 到 ， 显 示 过 滤 出 的 所 有 数据 包 的 源 地 址 都 是 192.168.5.2， 说 明 本 
例 中 客户 端 地 址 是 192.168.5.2。 在 Packet List 面板 的 Info 列 中 ， 可 以 看 到 在 272 数据 帧 中 
显示 了 163 邮箱 的 登录 账户 信息 。 下 面 通过 着 色 的 方法 ， 标 记 出 该 包 所 在 的 整个 会 

(4) 在 图 17.20 中 选择 272 帧 并 单 击 右键 ， 依 次 选择 Colorize Conversation|TCP|Color4 
命令 ， 将 显示 如 图 17.21 所 示 的 界面 。 

(5) 从 该 界面 高 亮 显示 的 数据 包 ， 可 以 发 现 272、429、542 帧 是 同一 个 会 话 的 数据 包 。 
这 里 再 次 使 用 人 P 地 址 显示 过 滤器 ， 过 滤 该 会 话 中 其 他 数据 包 。 显 示 过 滤 结 果 ， 如 图 17.22 
所 示 。 
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http-mailpcapng [Wireshark 1.10.7 (v1.10.7-0-g6b931al from master-110)] 人 
Ee Edt Vew Go Capture Anayze Statistics Telephony Ioos Intemas Hep 
加 加 看 硬 克 | 所 外 其 爷 | 信 9 呈 了 和 业 | 辐 国人 Q 旬 | 本 回 昌 > 


人 


123. 58.181.139 
.139 


20. 913086000 192.168.5.2 


-一 四 站 基 届 co d 
Frame (232 bytes) [RE 人 


© YW Fie: 7z:\http-mal.pcapng’ 422 kB 00... | Packets: 1016 * Dspbyed: 8 (0.8%) * L... | Profie: Defaukt 


图 17.21 高 亮 显示 数据 包 


PR NN | 
He Edt Vew Go Capture Anayze Statstics Telephony Joos Intemas Hep 


Destination Protocol Lengm Info 
123.125. 50.26 652 GET / HTTP/1.1 
.26 192.168.5.2 327 HTTP/1.1 304 Not Modified 


1 HTTP 

345 13. 669397000 192. 168.5.2 123.125.50.26 HT 1430 POST /js6/welcone 
T 332 HTTP/1.1 200 Ok (text/htm]) 

1351 GET /app/]1fen/wel_js6. ]Sp?S10~ mm 

HTTP/1.1 200 (application/json) 


(© W | Fle; “Zi\http-malpcapng” 422 KB 00... | Packets: 1016 * Depiaved: 18 (1.8%) “Load tme 0:00.056 [Profie: Defauk 
图 17.22 192.168.5.2 和 123.125.50.26 主机 之 间 传 输 的 HTTP 数据 包 


(6) 在 该 界面 的 Protocol 列 ， 可 以 看 到 所 有 的 数据 包 都 是 HITP 协议 。 从 该 界面 显示 
的 包 信 息 中 ， 用 户 可 能 发 现 整 个 会 话 中 有 GET 方法 的 数据 包 ， 也 有 POST 方法 的 数据 包 。 
这 是 因为 客户 端 开始 在 向 服务 器 请 求 时 , 仍然 使 用 的 是 GET 方法 。 只 有 在 输入 登录 账号 和 
密码 后 , 提交 表单 时 才 使 用 POST 方法 。 这 里 可 以 选择 其 中 两 个 包 (一 个 POST 方法 的 HITP 
请 求 ， 一 个 HTTP 响应 ) 进行 分 析 。 

(7) 本 例 中 选择 分 析 272 和 274 帧 ， 所 以 这 里 将 这 两 个 数据 包 导 出 。 在 该 捕获 文件 中 
的 272 帧 ， 进 行 了 分 段 ， 如 图 17.23 所 示 。 


http-mailpcapng [Wireshark 1107 (v110.7-0-g6b931a1 fom master-110)] 一 > 一 
| Ele Edt Vew Go Capture Anahze Statstics Telephony Toos jntemak Het 
和 看 自白 人 XS 人 9 国人 和 业 | 国 加 AD 可 加 网 基 >» 


Fier 加 erpression. cear Apply sa 
INo. Time Source Destination Protocol Length Info ~ 
272 12.435059000 192.168.5.2 123.125. 50.26 HTTP 90 POST CE - 


| 
Frame 272: 90 bytes on wire (720 bits), 90 bytes captured (720 bits) on irterface 0 ~ 
m Erhernet II, src: Elitegro 3f:c3:es (00:19:21: e5), Dst: TendaTec 84:78:1e (cB:3a: 


Internet Protocol Version 4, Src: 192.168.5.2 (192.168.5.2), Dst: 123.125.50.26 (123.125 
中 Transmission Control Prorocol : : hrrp (80), seq: 7720,, 


Pame (90 bytes)| Reassembled Tcp (2810 bytes) 
I® | Tc Segments (tcp.segments), 2810 bytes Packet... | Profie: Default 


图 17.23 272 帧 的 详细 信息 
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(8) 从 该 界面 的 Packet Details 面板 中 ， 可 以 看 到 有 一 行 信息 为 3 Reassembled TCP 
segments (2810 bytes)。 表 示 该 数据 包 被 分 成 了 3 个 片段 ， 分 别 是 258、259 和 272 这 3 个 
数据 包 。 如 果 要 导出 272 帧 ， 必 须要 将 258 和 259 也 一 起 导出 ， 和 否则 导出 的 272 数据 帧 内 
容 不 完整 。 此 时 在 Wireshark 的 菜单 栏 中 依次 选择 File|Export Specified Packets... 命 令 , 将 打 
开 如 图 17.24 所 示 的 界面 。 


PT =| 
保存 在 traces - @ 笑 巴 回 - 
3 名 称 修改 6 期 < 
< mm 
最 5 站 的 人 置 < "PPcapng 2014/8/26 16:16 
dhcp.pcapng 2014/8/22 18:45 
| 习 号 dhcp-portpcapng 2014/8/231655 = 
点 面 dns-qq.pcapng 2014/9/3 14:18 
http-postpcapng 2014/9/5 15:51 
Es| FS http-session.pcapng 2014/9/4 16:34 
库 Siemp.pcapng 2014/9/1 15:28 
Siemp-unreachable.pcapng 2014/9/1 15:30 
二 Tippcapng 2014/8/27 13:30 
HEN ip-fragmentpcapng 2014/8/2815:52 
< D ? 
文 伯 名 0 Btp-post peapng = 
:| [| 


图 17.24 导出 数据 包 


(9) 在 该 界面 Packet Range 栏 中 选择 Range 选项 ， 并 输入 导出 的 数据 包 
(258-259,272,274) 。 然 后 指定 导出 的 捕获 文件 名 ， 并 单 击 “ 保 存 ” 按 钮 ， 完 成 数据 包 导 出 。 
(10) 此 时 打开 新 的 捕获 文件 ， 显 示 界 面 如 图 17.25 所 示 。 
属 http-postpcapng [Wireshark 1.107 (v1L.107-0-96b931al from masterl10 Ed 
Ele Edt Vew Go Capture Anayze Statstcs Telephony Toog Intemas Hep 
CR 和 B 和 癌 1 本 国 册 其 | 区 


Filter: [= ] Expression.. Clear Apply Save 
INo. Time Source Destination en en jnfo 


0. 000021000 


5 egment 6 bled PDU | 
3 0.474433000 192.168.5.2 123.125.50.26 HTTP 90 POST /contacts/ca11. do?u1d- NN 1 63. cond 


4 0.501767000 123.125.50.26 192.168.5.2 HTTP 432 HTTP/1.1 200 OK (text/plain) 
[ 思 


Packets: 4 * Displayed: 4 (100.0%) * Load time: 0:00.046 Profie: Defauk 


|®@ | Fe: "Hi\traces\http-post.pcapng" 37... 


17.25 ”导出 数据 包 的 捕获 文件 


(11) 从 该 界面 可 以 看 到 ，1、2 帧 的 包 信息 都 是 TCP 重组 片段 。 这 样 就 可 以 在 该 捕获 
文件 中 ， 直 接 分 析 3、4 帧 数据 包 了 。 
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17.3 分析 HTTP 数据 包 


在 上 一 节 介绍 了 HTTP 数据 包 的 捕获 、 显 示 过 滤 及 导出 。 接 下 来 ， 本 节 将 对 前 面 捕获 
的 数据 包 进行 详细 分 析 。 


17.3.1 HTTP 报 文 格式 
HTTP 由 请 求 和 响应 两 部 分 组 成 , 所 以 对 应 的 也 有 两 种 报 文 格式 。 下 面 分 别 介绍 HTTP 
请 求 报 文 格式 和 HTTP 响应 报 文 格式 。 
1. HTTP 请 求 报 文 格式 
HTTP 请 求 报 文 主要 由 请 求 行 、 请 求 头 部 、 空 行 以 及 请 求 正文 4 部 分 组 成 ， 如 表 17-1 
表 17-1 HTTP 请 求 报 文 格式 


请 求 方法 空格 URI 空格 协议 版 本 回 车 符 换行 符 
域名 | : | 域 秆 | 加 于 符 | 换行 符 


正文 内 容 


以 上 表格 中 , 第 1 行为 “请 求 行 ”; 第 2、3、4 行为 “请 求 头 部 ”; 第 5 行为 “ 空 行 ”; 
第 6 行为 “请 求 正文 ”。 下 面 分 别 介绍 这 4 个 部 分 ， 如 下 所 示 。 

(1) 请 求 行 由 3 部 分 组 成 ， 分 别 为 请 求 方式 、URI (注意 这 里 不 是 URL) 以 及 协议 版 
本 组 成 。 它 们 之 间 由 空格 分 隔 。 请 求 方法 主要 包括 GET、POST 等 ; 常见 的 协议 版 本 有 
HTTP/1.1。 

(2) 请 求 头 部 包含 很 多 有 关 客 户 端 环 境 以 及 请 求 正 文 的 有 用 信息 。 请 求 头 部 由 “关键 
字 : 值 ” 对 组 成 ， 每 行 一 对 ， 关 键 字 和 值 之 间 使 用 英文 “:” 分 隔 。 

(3) 空 行 ， 这 一 行 非常 重要 ， 必 不 可 少 。 表 示 请 求 头 部 结束 ， 接 下 来 为 请 求 正 文 。 

(4) 请 求 正 文 ， 如 以 POST 方式 提交 的 表单 数据 。 


2.HTTP 响 应 报 文 格式 
HTTP 响应 报 文 主要 由 状态 行 、 响 应 头 部 、 空 行 以 及 响应 正文 4 部 分 组 成 。 如 表 17-2 


表 17-2 HTTP 响 应 报 文 格式 


协议 版 本 空格 状态 码 空 状态 码 描述 | 。 回 车 符 换行 符 
域名 | 域 值 | 回 车 符 | 换行 符 
茂名 . | 焉 什 | ”同和 符 ”| 换行 符 
回 车 符 换行 符 
正文 内 容 
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以 上 表格 中 , 第 1 行为 “状态 行 ”; 第 2、3、4 行为 “响应 头 部 ”; 第 5 行为 “ 空 行 ”; 
第 6 行为 “响应 正文 ”。 下 面 分 别 介绍 这 4 个 部 分 ， 如 下 所 示 。 
(1) 状态 行 由 3 部 分 组 成 ， 分 别 是 HITP 协议 版 本 、 状 态 代 码 和 状态 代码 描述 。 状 态 


代码 为 3 位 数字 ， 由 1、2、3、4 以 及 5 开头。 其 中 ，2 开头 的 指 响应 成 功 ;， 3 开头 的 指 重 


定向 ; 4 开头 的 指 客户 端 错误 ; 5 开头 的 指 服务 端 错误 。 详 细 的 状态 码 就 不 介绍 了 ， 下 面 列 
举 几 个 常见 的 ， 如 下 所 示 。 
口 200: 表示 响应 成 功 。 


口 400: 表示 


错误 的 请 求 ， 用 户 发 送 的 HTTP 请 求 不 正确 。 


口 404: 表示 文件 不 存在 ， 也 就 是 HITP 请 求 URI 错误 。 

口 500: 表示 服务 器 内 部 错误 。 

(2) 响应 头 部 与 请 求 头 部 类 型 ， 也 包含 了 很 多 有 用 的 信息 。 
(3) 空 行 ， 该 行 是 必 不 可 少 的 一 行 ， 表 示 响 应 头 部 结束 。 
(4) 响应 正文 ， 服 务 器 返回 的 文档 ， 最 常见 的 为 HTML 网 页 。 


17.3.2 ”HTTP 的 头 域 


在 HITP 的 请 求 消息 和 应 答 消 息 中 ， 都 包含 头 域 。 头 域 分 为 4 种 ， 其 中 请 求 头 域 和 应 
答 头 域 分 别 只 在 请 求 消息 和 应 答 消 息 中 出 现 ,通用 头 域 和 实体 头 域 两 种 消息 中 都 可 以 出 现 ， 
但 实体 头 域 具 有 当 消息 中 包含 了 实体 数据 时 才 会 出 现 。 下 面 分 别 介绍 这 4 种 头 域 中 的 域名 


称 和 功能 。 


请 求 头 域名 称 及 功能 如 表 17-3 所 示 。 


头 域 名称 
Accept 
Accept-Charset 
Accept-Encoding 


表 17-3 ”HTTP 请 求 头 域 
功 能 
表示 浏览 器 可 以 接受 的 MIME 类 型 
浏览 器 可 接受 的 字符 集 
浏览 器 能 够 进行 解码 的 数据 编码 格式 ， 如 gzip 


Accept-Language 浏览 器 所 希望 的 语言 种 类 ， 当 服务 器 能 够 提供 一 种 以 上 的 语言 版 本 时 要 用 到 
Anuthorization 授权 信息 ， 通 常 出 现在 对 服务 器 发 送 的 WWW-Authenticate 头 的 应 答 中 

Expect 用 于 指出 客户 端 要 求 的 特殊 服务 器 行为 

From 请 求 发 送 者 的 E-mail 地 址 ， 由 一 些 特殊 的 Web 客户 程序 使 用 ， 浏 览 器 不 会 用 到 它 
Host 初始 URL 中 的 主机 和 端口 

If-Match 指定 一 个 或 者 多 个 实体 标记 ， 只 发 送 其 ETag 与 列表 中 标记 相 匹 配 的 资源 


If-Modified-Since 


只 有 当 所 请 求 的 内 容 在 指定 的 日 期 之 后 又 经 过 修改 才 返 回 它 , 否则 返回 304 应 答 


If-None-Match 


指定 一 个 或 者 多 个 实体 标记 ， 资 源 的 ETag 不 与 列表 中 的 任何 一 个 条 件 匹 配 ， 操 
作 才 执 行 


If-Range 


指定 资源 的 一 个 实体 标记 ,客户 端 已 经 拥有 此 资源 的 一 个 复制 文件 , 必须 与 Range 
头 域 一 同 使 用 


If-Unmodified-Since 


只 有 自 指定 的 日 期 以 来 ， 被 请 求 的 实体 还 不 曾 被 修改 过 ， 才 会 返回 此 实体 


Max-Forwards 


-个 用 于 TRACE 方法 的 请 求 头 域 ， 以 指定 代理 或 网 关 的 最 大 数目 ， 该 请 求 通过 
网 关 才 得 以 路 由 


Proxy-Authorization 


回应 代理 的 认证 要 求 


i 
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头 域 名 称 功 能 
Range 指定 一 种 度量 单位 和 被 请 求 资源 的 偏 移 范围 ， 即 只 请 求 所 要 求 资源 的 部 分 内 容 
Referer 包含 一 个 URL， 用 户 从 该 URL 代表 的 页 面 触发 访问 当前 请 求 的 页 面 
TE 表示 愿意 接受 扩展 的 传输 编码 
User-Agent 浏览 器 类 型 ， 如 果 Servlet 返回 的 内 容 与 浏览 器 类 型 有 关 ， 则 该 值 非常 有 用 
应 答 头 域 只 在 应 答 消 息 中 出 现 , 是 Web 服务 器 向 浏览 器 提供 的 一 些 状 态 和 要 求 。 所 有 


的 应 答 头 域名 称 及 功能 如 表 17-4 所 示 。 


头 域 名 称 


表 17-4 HTTP 应 答 头 域 
功 


台 E 
用 


服务 器 指定 它 对 某 个 资源 请 求 的 可 接受 范围 


Accept-Ranges 


Age 


Etag 
Location 


服务 器 规定 自 服务 器 生成 该 响应 以 来 所 经 过 的 时 间 ， 以 秒 为 单位 , 主要 用 于 缓存 
响应 

提供 实体 标签 的 当前 值 

因 资 源 已 经 移动 , 把 请 


重 定向 至 另 一 个 位 置 ， 与 状态 编码 302 或 者 301 配合 使 用 


Proxy-Authenticate 


Retry-After 


Server 
Vary 
WWW-Authenticate 


类 似 于 WWW-Authenticate， 但 回应 的 是 来 自 请 求 链 代理) 的 下 一 个 服务 器 的 
认证 

由 服务 器 与 状态 编码 503 〈 无 法 提供 服务 ) 配合 发 送 ， 以 标明 再 次 请 求 之 前 应 该 
等 待 多 长 时 间 

标明 Web 服务 器 软件 及 其 版 本 号 

用 于 代理 是 否 可 以 使 用 缓存 中 的 数据 响应 客户 端的 请 求 

提示 客户 端 提供 用 户 名 和 密码 进行 认证 ， 与 状态 编码 401〈 未 授权 ) 配合 使 用 


通用 头 域 既 可 以 用 在 请 求 消息 ， 也 可 以 用 在 应 答 消 息 。 所 有 的 通用 头 域名 称 及 功能 如 


表 17-5 所 示 。 


表 17-5 HTTP 通 用 头 域 


头 域 名 称 功 能 
Cache-Control 用 于 指定 在 请 求 /应 答 链 上 所 有 缓存 机 制 所 必须 服从 的 规定 ， 可 以 附带 很 多 的 规定 值 
Connection 表示 是 否 需 要 持久 连接 
Date 表示 应 答 消息 发 送 的 时 间 
Pragma 用 来 包含 实现 特定 的 指令 ， 最 常用 的 是 Pragma:no-cache， 用 于 定义 页 面 缓存 
Trailer 表示 以 Chunked 编码 传输 的 实体 数据 的 尾部 存在 哪些 头 域 
Transfer-Encoding | 说 明 Trailer 头 域 所 定义 的 尾部 头 域 所 采用 的 编码 
允许 服务 器 指定 一 种 新 的 协议 或 者 新 的 协议 版 本 ,与 响应 编码 101 (切换 协议 ) 配 
Upgrade 合 使 用 
Via 由 网 关 和 代理 指出 在 请 求 和 应 答 中 经 过 了 哪些 网 关 和 代理 服务 器 
Waming 用 于 警告 应 用 到 实体 数据 上 的 缓存 操作 或 转换 可 能 缺少 语义 透明 度 
只 有 在 请 求 和 应 答 消息 中 包含 实体 数据 时 ， 才 需要 实体 头 域 。 请 求 消息 中 的 实体 数据 


是 一 些 由 浏览 器 向 Web 服务 器 提交 的 数据 ,如 在 浏览 器 中 采用 POST 方式 提交 表单 时 ， 浏 
览 器 就 要 把 表单 中 的 数据 封装 在 请 求 消息 的 实体 数据 部 分 。 应 答 消息 中 的 实体 数据 是 Web 
服务 器 发 送 给 浏览 器 的 媒体 数据 ， 如 网 页 、 图 片 和 文档 等 。 实 体 头 域 说 明了 实体 数据 的 一 
些 属 性 ， 所 有 实体 头 域名 称 及 功能 如 表 17-6 所 示 。 
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表 17-6 HTTP 实 体 头 域 


头 域 名 称 功 能 
Allow 列 出 由 请 求 URI 标识 的 资源 所 支持 的 方法 集 
Content-Encoding 说 明 实体 数据 是 如 何 编码 的 
Content-Language 说 明 实体 数据 所 采用 的 自然 语言 
Content-Length 说 明 实体 数据 的 长 度 
Content-Location 说 明 实 体 数据 的 资源 位 置 
Content-MD5 给 出 实体 数据 的 MD5 值 ， 用 于 保证 实体 数据 的 完整 性 
Content-Range 说 明 分 割 的 实体 数据 位 于 整个 实体 的 哪 一 位 置 
Content-Type 说 明 实 体 数 据 的 MIME 类 型 
Expires 指定 实体 数据 的 有 效 期 
Last-Modified 指定 实体 数据 上 次 被 修改 的 日 期 和 时 间 


17.3.3 分 析 GET 方法 的 HTTP 数据 包 


下 面 以 前 面 捕获 的 http.pcapng 和 http-session.pcapng 捕获 文件 为 例 ， 分 别 分 析 GET 方 
法 的 HITP 请 求 和 响应 数据 包 。 


1. 分 析 HTTP 请 求 包 
打开 http-session.pcapng 捕获 文件 ， 分 析 HTTP 请 求 包 ， 如 图 17.26 所 示 。 


http-sessionpcap 

Ele Edt Vew Go Capture Anayze Statstics Telephony Iooks Intemas Hep 
回回 看 面 拓 | 记 外 其 人 匈 | 六 e 字 加 于 业 | 国 加 人 e 久 口 | 本 回 昂 苏 | 台 
Filter: [=] Biprossion:. Ceer Appy Save 

No Time Source 


2 0.012751000 61.135.169.125 192.168.5. 66 http > 49524 [SYN, ACK] Seq=0 
3 0.012868000 192.168.5.2 69.12! 54 49524 > hrrp [ACK] seq=1 Ack=l 
4 0.013097000 192.168.5.2 500 GET / HTTP/1.1 

下 


5 "H:\traces\http-sessi... Packets: 5 * Dspbyed: 5 (100.0%) “Load time: 0:00.046 | Profie: Defauk 
图 17.26 ”http-sission.pcapng 捕获 文件 


在 该 捕获 文件 中 ,前 3 个 数据 包 是 TCP 三 次 握手 的 数据 包 。 第 4 个 数据 包 ， 则 是 客户 
端 向 服务 器 发 送 的 HTTP 请 求 包 。 下 面 将 对 该 包 中 的 详细 信息 进行 介绍 ， 如 图 17.27 所 示 。 
帮 http-session.pcapng [Wireshark 1.107 (v1.10.7-0-96b931al from master-1.10)] IE 二 | 
Ee Edt Vew Go Copture Anahze Stntztics Telephony Iook Jntemab Hep 
OORuADOXSAH 中 OT 和 QI 本 国电 关 | 回 
-| Expression.. Clear Apply Save 
i 


I Frame (frame), 500 bytes | Packets: 5* Displayed: 5 (100.0%) * Load time: 0:00.046 


图 17.27 HTTP 请 求 包 


二 
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从 Wireshark 的 Packet Details 面板 中 ， 可 以 看 到 HTTP 请求 包 有 4 行 详细 信息 。 下 面 
依次 进行 介绍 ， 如 下 所 示 。 


Frame 4: 500 bytes on wire (4000 bits), 500 bytes captured (4000 bits) on 
interface 0 


以 上 信息 表示 第 4 帧 的 详细 信息 ， 并 且 该 包 的 大 小 为 500 个 字 节 。 


Ethernet 二 本 STC: Elitegro 3f:c3:e5 {O019:21:3f.c3e5). Dst: 
TendaTec 84:78:1e’ (c8:3a:35:84:78:1e) 


以 上 信息 是 以 太 网 帧 头 部 的 详细 信息 。 其 中 ， 源 MAC 地 址 为 00:19:21:3fc3:e5， 目 标 
MAC 地 址 为 c8:3a:35:84:78:le。 


Internet “Protocol Version 4, Src: 192.168.5.2 (192.168.5.2), Dst: 
61.135.169.125 {61.135:169.125) 


以 上 信息 是 IPv4 首部 的 详细 信息 。 其 中 ， 源 他 地 址 为 192.168.5.2， 目 标 IP 地 址 为 
61.135.169.125。 


Transmission Control Protocol, Src Port: 49524 (49524), Dst Port: http (80), 
Seq: 1, Ack: 1, Len: 446 


以 上 信息 是 TCP 协议 首部 详细 信息 。 其 中 源 端 口号 为 49524， 目 标 端口 号 为 80。 请 求 
序列 号 为 1， 确认 编号 为 1， 长 度 为 446 个 字 节 。 


Hypertext Transfer Protocol 


以 上 信息 是 HTTP 协议 的 详细 信息 。 下 面 对 该 协议 的 详细 信息 展开 进行 介绍 ， 如 下 所 


Hypertext Transfer Protocol 
GET / HTTP/1.1\r\n # 请 求 行 信息 
[Expert Info (Chat/Sequence): GET / HTTP/1.1\r\n]# 专 家 信息 
[Message: GET / HTTP/1.1\r\n] 
[Severity level: Chat] 
[Group: Sequencel] 
Request Method: GET # 请 求 方法 为 GET 
Request URI: / # 请 求 的 URI 
Request Version: HTTP/1.1 # 请 求 的 版 本 为 HTTP/1.1 
Accept: text/html，application/xhtml+xml，*/*N\rNn 提请 求 的 类 型 
Accept-Language: zh-CN\r\n # 请 求 语言 
User-Agent: Mozilla/5.0 (Windows NT 6.1; Trident/7.0; rv:11.0) like 
Gecko\r\n 浏览 器 类 型 
Accept-Encoding: gzip, deflate\r\n # 请 求 的 编码 格式 
Host: www.baidu.com\r\n # 请 求 主机 
DNT: 1\r\n # 禁 止 追 踪 ，1 表示 不 想 被 追踪 ，0 表示 追踪 
Connection: Keep-Alive\r\n 使 用 持久 连接 
Cookie: BRAIDUID=EB5B21B904619548E0B08CC7195D0OE2EF:EFG=17 


BDREFER=%7Burl%3A%22http%3A//yule.baidu.com/n%3Fcmd%3D1%26class%3Dtv%26 
pn%$3D1%26from%3Dtab%22%2Cword%3A%22%22%7D; BD UPN=11263143; BD HOME=0\r\n 
#Cookie 信息 
NENn # 空 行 
[Full request URI: http://www-baidu.com/]# 请 求 的 URI 为 www.baidu.com 
[HTTP request 1/1] 


"0s 
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以 上 信息 就 是 HTTP 请 求 包 的 相关 信息 。 根 据 以 上 描述 信息 ， 可 以 知道 客户 端 使 用 
HTTP 1.1 版 本 向 服务 器 发 送 了 GET 请 求 ， 请 求 访问 www.baidu.com 服务 器 。 
以 上 HTTP 请 求 内 容 对 应 到 HTTP 报 文 格式 中 ， 显 示 结 果 如 表 17-7 所 示 。 


表 17-7 GET 方法 的 HTTP 请 求 报 文 格式 


GET 空格 / 空格 HTTP/1.1 Yr mn 
Accept | text/html, application/xhtml+xml. | Y un 
| Keep-Alive TY un 


[Full request URI http://www.baidu.comy] 


2. 分 析 HTTP 响 应 包 


下 面 以 http.pcapng 捕获 文件 为 例 ,分 析 HITP 响应 包 。 在 该 捕获 文件 中 的 50 帧 是 HITP 
响应 包 ， 其 详细 信息 如 图 17.28 所 示 。 


httppcapng [Wireshark 1107 (v1.107-0-g6b931a1 from master-1.10)] 
Ele Edt Vew Go Capture Anayze Statistics Teephony Ioos Intemas Hep 
Od 人 XV 多 lA9 人 9@TF 二 国 QQQD 田 加 关 | 侣 


| Expression.. Clear Apply Save 


ever = 


Protocol Length Info 


9 Frame 50: 784 bytes on wire (6272 bits), 784 bytes captured (6272 bits) on interface 0 

3 Ethernet II, Src: TendaTec_84:78:1e (C8:3a:35:84:78:1e), Dst: Elitegro_3f:c3:e5 (00:19:21:3/” 
9 Internet Protocol Version 4, src: 61.135.169.125 (61.135.169.125), Dst: 192.168.5.2 (192.16 
||@ Transmission Control protocol, src Port: http (80), Dst Port: 49524 (49524), Seq: 20623, Acs 
[16 Reassembled Tcp Segments (21352 bytes): #19(462) ，#21(1440) ，#23(1440) ，#25(C1440) ，#27(| 


3 Line- based text data: text/html 
加 


4| Fame (784 bytes) Reassembled TCP(21352bytes) | De-chunked entty body (20877 bytes) |» 
| 全 [1 Frame (frame), 784 bytes | Packets: 158 * Displayed: 158 (100.0%) * Load time: 0:... | profile: Defsuk 


图 17.28 HTTP 响应 包 


从 Wireshark 的 Packet Details 面板 中 ， 可 以 看 到 该 响应 包 的 详细 信息 。 在 该 数据 帧 的 
详细 信息 中 , 共有 7 行 信息 。 其 中 第 4 和 5 行 都 是 TCP 的 详细 信息 。 下 面 分 别 详细 介绍 每 
行 信息 ， 如 下 所 示 。 


Frame 50: 784 bytes on wire (6272 bits), 784 bytes captured (6272 bits) on 
interface 0 


以 上 信息 表示 这 是 第 50 帧 的 详细 信息 ， 并 且 该 包 的 大 小 为 784 个 字 节 。 


Ethernet ET SFE: TendaTec 84:78:1e (cb8s3ax35284278216]7 Dek 
Elitegro 3f:c3:e5 (00:19:21:3f:c3:e5) 


以 上 信息 表示 以 太 网 帧 首部 信息 。 其 中 源 MAC 地 址 为 c8:3a:35:84:78:le， 目 标 MAC 
地 址 为 00:19:21:3fc3:e5 。 


Internet Protocol Version 4，Src: 61.135.169.125 (61.135.169.125), Dst: 
Ee pe :A 由 区 用 车 琶 二 用 


ns 
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以 上 信息 表示 IPv4 首部 的 详细 信息 。 其 中 源 瑟 地 址 为 61.135.169.125， 目 标 他 地址 
为 192.168.5.2。 

Transmission Control Protocol, Src Port: http (80), Dst Port: 49524 (49524), 

Seq: 20623, Ack: 447, Len: 730 

以 上 内 容 是 TCP 首部 的 详细 信息 。 其 中 源 端 口号 为 80， 目 标 端口 号 为 49524， 并且 该 
包 的 长 度 为 730 个 字 节 。 

[16 Reassembled TCP Segments (21352 bytes): #19(462), #21 (1440), #23(1440), 

#25(1440), #27(1440), #29(1440), #31(1440), #33(1440), #35(1440), #38(1440), 

#40 (1440), #42(1440), #44(1440), #46(1440), #48(1440), #50(730)] 

以 上 内 容 表 示 这 是 16 个 重组 TCP 片段 ， 并 且 这 些 片段 共有 21352 个 字 节 。 由 于 TCP 
数据 包 的 大 小 超过 了 最 大 数据 分 段 (MSS) ， 所 以 该 数据 包 在 TCP 层 进行 了 分 段 。 从 该 行 
信息 中 ， 可 以 看 到 被 分 段 后 的 数据 包 及 包 的 大 小 。 如 #19(462)， 其 中 19 表示 第 19 个 数据 
帧 是 该 TCP 包 的 一 个 分 段 ， 大 小 为 462 个 字 节 。 


Hypertext Transfer Protocol 


以 上 信息 是 HTTP 协议 的 响应 包 信息 。 下 面 对 该 包 中 的 内 容 进行 详细 介绍 , 如 下 所 示 : 


HTTP/1.1 200 OK\r\n # 响 应 行 信息 
[Expert Info (Chat/Sequence) : HTTP/1.1 200 OK\r\n] # 专 家 信息 
[Message: HTTP/1.1 200 OK\r\n] #HTTP 响应 消息 ， 响 应 码 为 200 


[Severity level: Chat] 
[Group: Sequence] 


Request Version: HTTP/1.1 # 请 求 版 本 
Status Code: 200 # 状 态 码 
Response Phrase: OK # 响 应 短语 


Date: Thu, 04 Sep 2014 01:47:04 GMT\r\n # 响 应 请 求 的 时 间 
Content-Type: text/html; charset=utf-8\r\n # 响 应 的 内 容 类 型 


Transfer-Encoding: chunked\r\n # 传 输 编 码 格 式 

Connection: Keep-Alive\r\n # 使 用 持久 连接 

Vary: Accept-Encoding\r\n # 使 用 缓存 中 的 数据 响应 客户 端的 请 求 
Cache-Control: private\r\n # 缓 冲 控制 


Cxy_all: baidut+70d3f79f23296e668b332b71df6db748\r\n 
Expires: Thu，04 Sep 2014 01:47:01 GMT\r\n # 实 体 数 据 的 有 效 期 
X-Powered-By: HPHP\r\n 

Server: BWS/1.1\r\n # 服 务 器 的 类 型 
BDPAGETYPE: 1\r\n 

BDQID: Oxa0ddfe630003d87c\r\n 

BDUSERID: 0\r\n 

Set-Cookie: BDSVRTM=0; path=/\r\n 

Set-Cookie: BD HOME=0; path=/\r\n 


Content-Encoding: gzip\r\n # 实 体 数据 的 压缩 格式 
\r\n 考 空 行 
[HTTP response 1/1] #HTTP 响应 
[Time since request: 0.039099000 seconds] # 响 应 使 用 的 时 间 
[Request in frame: 14] 请 求 的 帧 为 14 
HTTP chunked response #HTTP 块 响应 
Data chunk (20877 octets) # 数 据 块 
Chunk size: 20877 octets # 块 大 小 
Data (20877 bytes) # 数 据 


Data: 1f8b0800000000000003edbdeb9363c9751ff8ddllfelf2e... 
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[Length: 20877] # 长 度 
Chunk boundary # 块 边界 
End of chunked encoding 分 块 编码 
Chunk size: 0 octets # 块 大 小 
Chunk boundary # 块 边界 
Content-encoded entity body (gzip) : 20877 bytes -> 78685 bytes 
Line-based text data: text/html # 基 于 行 的 文本 数据 
[truncated] <!DOCTYPE html><!--STRTUS OK--><html><head><meta 
http-equiv="content-type™" content="text/html;charset=utf-8"><meta 
http-equiv="X-UA-Compatible" content="IE=Edge"><link rel="dns-prefetch" 
href="//sl.bdstatic.com"/><link rel="dns # 响 应 的 正文 信息 


根据 以 上 描述 信息 可 以 知道 服务 器 使 用 HTTP/1.1 200 OK 响应 了 客户 端的 请 求 。 以 上 
HTTP 响应 内 容 对 应 到 HTTP 报 文 格式 中 ， 显 示 结 果 如 表 17-8 所 示 。 


表 17-8 GET 方 法 的 HTTP 响 应 报 文 格式 


HITIPILL | 空 骆 |20 |5 格 |og | | 
Content-Type | 让- | text/html; charset=utf-8 n 


ContentEncoding [: [gp lv [Iv 
Y nh 


省 略 
17.3.4 分析 POST 方法 的 HTTP 数据 包 


下 面 以 导出 的 数据 包 捕 获 文件 http-post.pcapng 为 例 ， 介绍 POST 方法 的 HITP 请 求 和 
响应 包 。 


1. 分 析 HTTP 请 求 包 


HTT?P 请 求 包 的 详细 信息 ， 如 图 17.29 所 示 。 


“http-postpcapng [Wireshark 1107 wL107-0-96b931a1 fom master-1.10)] [GE 
Ele Edt Vew Go Capture Anayze Statstcs Telephony Ioos Jntemaks Hep 
OMANSA9 中 OT QQQD 本 国 加 党 | 加 


Fer 了 | Expression.。 Clear Apply Save 
Protocol Length Info ^ 


HTTP ) pO: 
: 


可 Frame 3: 90 bytes on wire (720 bits), 90 bytes captured (720 bits) on interface 0 

9 Ethernet 11, Src: Elitegro_3f:c3:e5 (00:19:21:3f:c3:e5), Dst: TendaTec_84:78:1le (c8:3a:35:84:78:1e) 

田 Internet protocol Version 4, Src: 192.168. 5.2 (192.168.5.2), Dst: 123.125. 50.26 (123.125.50.26) 

Transmission Control protocol, Src Port: 50389 (50389), Dst Port: http (80), seq: 2775, Ack: 1, Len: 36 日 
9 [3 Reassembled TCP Segments (2810 bytes): #1(1440), #2(1334), #3(36)] 

田 Line-based text data: app1ication/x-www-for' 


INo. Time Source Destination 
74433 2 123.125 


irlencoded bg 


Frame (90 bytes) |Reassembled TCP (2810 bytes) | 
@W Fame (frame), 90 bytes Packets: 4 * Displayed: 4 (100.0%) * Load time: 0:00.046 Profile: Defauk 


图 17.29 HTTP 请 求 包 


从 该 界面 数据 包 的 地 址 和 端口 可 以 看 出 ， 这 是 一 个 HTTP 请 求 包 。 在 该 包 中 的 详细 信 


Rs 
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息 如 下 所 示 。 


Frame 3: 90 bytes on wire (720 bits), 90 bytes captured (720 bits) on interface 0 


以 上 信息 表示 这 是 第 3 帧 的 详细 信息 ， 并 且 该 包 的 大 小 为 90 个 字 节 。 


Ethernet 江 E SEC: Elitegro 3f:c3:e5 (029:21 BE cI Ba 
TendaTec 84:78:1le (c8:3a:35:84:78:1e) 


以 上 信息 是 以 太 网 帧 头 部 的 详细 信息 。 其 中 源 MAC 地 址 为 00:19:21:3fc3:e5， 目 标 
MAC 地 址 为 c8:3a:35:84:78:le。 


Internet Protocol Version 4, Src: 192.168.5.2 (192.168.5.2), Dst: 
123.125.50.26 (123:125.:50.26) 


以 上 信息 是 IPv4 首部 的 详细 信息 。 其 中 ， 源 了 P 地 址 为 192.168.5.2， 目 标 人 P 地 址 为 
123.125.50.26。 


Transmission Control Protocol，Src Port: 50389 (50389), Dst Port: http (80) ， 
Soqe ZTISA A AGE lo Lon36 


以 上 信息 表示 TCP 协议 头 部 的 详细 信息 。 其 中 源 端口 号 为 503839, 目标 端口 号 为 80。 
请 求 的 序列 号 为 2775， 确 认 编 号 为 1， 长 度 为 36 个 字 节 。 
[3 Reassembled TCP Segments (2810 bytes) : #1(1440), #2(1334), #3(36)] 


以 上 信息 表示 该 数据 包 有 3 个 TCP 重组 片段 ， 大 小 共 2810 个 字 节 。 这 3 个 片段 分 别 
是 第 1、2、3 个 数据 包 ， 大 小 分 别 为 1440、1334、36 个 字 节 。 


Hypertext Transfer Protocol 


以 上 信息 表示 HTTP 协议 的 详细 信息 。 下 面 对 该 首部 的 详细 信息 进行 介绍 , 如 下 所 示 。 


Hypertext Transfer Protocol 
POST 
/contacts/call . do ?ULd 一 # 站 中 让 冰冰 冰冰 水 冰冰 冰 冰冰 @1 63 . Com&sid=WAUuDuEKbgYvnJPjRdtbbmho 
OvTMJ IdKH&from=webmailgcmd=newapi.getContacts&vcardver=3.0&ctype=al1l&at 
tachinfos=yellowpage, frequentContacts&freContLim=20 HTTP/1.1\r\n 
## 请 求 行 
[Expert Info (Chat/Sequence): POST 
/contacts/call .do?uid=*#** 闵 六 六 六 六 六 站 站 闪闪 XQ163 .Com&sid=WAUuDuEKbgYvnJPjRdtbbmho 
OvTMjIdKH&from=webmailg&cmd=newapi .getContactsgvcardver=3.0&ctype=allg&at 
tachinfos=yellowpage, frequentContactsgfreContL] HTTP/1.1\r\n] 
# 专 家 信息 
[Message: POST 
/contacts/call .do?uid=*** 闪 闪 六 六 闪闪 闪闪 站 闪 *X*Q163 .Com&sid=WAUuDuEKbgYvnJPjRdtbbmho 
OvTMj IdKH&from=webmail&cmd=newapi .getContactsgvcardver=3.0&ctype=allg&at 
tachinfos=yellowpage, frequentContactsgfreContLim=20 HTTP/1.1\r\n] 
[Severity level: Chat] 
[Group: Sequence] 
Request Method: POST # 请 求 方法 为 POST 
Request URI: 
/contacts/call .do?uid=*** 闪 * 六 闪闪 闪 六 站 站 闪 六 XQ163 .Com&sid=WAUDuEKbgYvnJPjRdtbbmho 
OvIMjIdKH&from=webmailgcmd=newapi .getContactsgvcardver=3.0&ctype=allg&at 
tachinfos=yellowpage, frequentContactsgfreContLim=20 
Request Version: HTTP/1.1 # 请 求 的 URI 
Accept: */*\r\n # 浏 览 器 接受 的 类 型 ，*/* 表 示 接 受 所 有 媒体 类 型 
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Content-Type: application/x-www-form-urlencoded\r\n # 请 求 的 内 容 类 型 


Referer: 
http://cwebmail.mail.163.com/js6/main.jsp?sid=WAuDuEKbgYvnJPjRdtbbmhoOv 
TMjIdKH&df=mail163 letter\r\n 井 从 包含 的 URL 页 面 发 起 请 求 

Accept-Language: zh-cn\r\n # 希 望 使 用 的 语言 


Accept-Encoding: gzip，deflate\r\n# 可 使 用 的 编码 方式 ， 这 里 是 gzip 和 deflate 
User-Agent: Mozilla/5.0 (Windows NT 6.1; Trident/7.0; rv:11.0) like 


Gecko\r\n # 使 用 的 浏览 器 类 型 

Host: cwebmail.mail.163.com\r\n # 使 用 的 主机 

Content-Length: 36\r\n # 包 的 长 度 

[Content length: 36] 

DNT: 1\r\n # 禁 止 跟踪 

Connection: Keep-Alive\r\n # 使 用 持久 连接 

Cache-Control: no-cache\r\n # 不 进行 缓存 

[truncated] Cookie: 了 七 5_mmaa 斌 】 口 3 所 工 一 本 机 机 本本 机 机 本 本 本 本 市 本本 本 中 一 ] :了 > 
starttime=1410245067798; logType=; df=maill163 letter; 


mail upx=c7bj.mail.163.com|clbj .mail.163.com|lc2bj.mail.163.com|c3bj .mai 
1.163.comlc4bj .mail.163.com|lc5bj .mail.163.com|lc6bj .mail 
#Cookie 信息 ， 包 括 邮 箱 用 户 信息 、 起 始 时 间 和 


日 志 类 型 等 
\r\n # 空 行 
[Full request URI: 


http://cwebmail.mail.163.com/contacts/call .do?uid=* 六 六 六 六 水 闵 站 六 六 闵 冰 站 六 冰 @] 63 . COm 
&sid=WAuDuEKbgYvnJPjRAdtbbmhoOvTIMjIdKH&from=webmail&cmd=newapi .getContac 
tsgvcardver=3.0gctype=allg&attachinfos=yellowpage, frequentContal] 

[HTTP request 1/1] 

[Response in frame: 4] 
Line-based text data: application/x-www-form-urlencoded 


order=[{"field":"N","desc":"false"}] # 请 求 的 正文 内 容 


求 包 。 在 该 包 详细 信息 中 ， 可 以 看 到 请 求 的 连接 
码 已 经 进行 了 加 密 。 


以 上 就 是 使 用 POST 方法 的 HTTP 讲 
登录 的 用 户 名 和 密码 等 。 但 是 这 里 的 密 


以 上 详细 信息 对 应 到 HTTP 请 求 报 文 格式 中 ， 显 示 结果 如 表 17-9 所 示 。 
表 17-9 POST 方法 的 HTTP 请 求 报 文 格式 


Content-Length : 36 Y Nm 


Yr n 


正文 内 容 (省略 》 


2. 分 析 HTTP 响 应 包 
HTTP 响应 包 的 详细 信息 如 图 17.30 所 示 。 
该 界面 是 一 个 HITP 响应 包 的 详细 信息 。 在 该 包 中 的 详细 信息 如 下 所 示 。 


Frame 4: 432 bytes on wire (3456 bits), 432 bytes captured (3456 bits) on 
interface 0 


以 上 信息 表示 这 是 第 4 个 数据 帧 的 详细 信息 ， 并 且 该 包 的 大 小 为 3456 个 字 节 。 


Ethernet A 2 TendaTec 84:78:1e {c8:3a:35:84:78:1e), Dst: 
Elitegro 3f:c3 Eos (O00 L923 Ee ed) 
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必 http-postpcapng [Wireshark 1.107 (vL107-0-96b931al from master-1.10)] esl 
Ee Edt Vew Go Capture Anayze Statstics Telephony Ioos Intemas Hep 
OANA|DSOXSIA99DOFTL QQ 人 QQ 岛国 易 状 | 加 

| "| Expression.. Clear Apply Save 

Protocol Length Info 


四 Frame 4: 432 bytes on wire (3456 bits), 432 bytes captured (3456 bits) on interface 0 
D Ethernet II, Src: TendaTec_84:78:1e (c8:3a:35:84:78:1e), Dst: Elitegro_3f:c3:e5 (00:19:21:3f:c3:e5) 
有 


田 Internet Prorocol Version 4, Src: 123.125. 50.26 (123.125.50.26), Dst: 192.168. 5.2 (192.1 
习 Transmission Control Protocol, Src Port: http (80), Dst Port: 50389 (50389), Seq: 1, Ack: 2811, Len: 378 
Hypertext Transfer Protocol 
习 Line-based text data: text/plain 


0000 00 19 21 3f c3 e5 c8 3a 35 84 78 le 08 00 45 00 
0010 ol az df c2 40 00 36 06 fo 51 7b 7d 32 1a co a8 


0020 05 02 00 50 c4 ds ff aa bb fc 82 88 af b5 50 18 P.- 
0030 00 fa 9a 69 00 00 48 54 54 50 2f 31 2e 31 20 32 HT TP/1.1 2 
0040 30 30 20 4f 4b 0d 0a 53 65 72 76 65 72 3a 20 6e 00 OK. .s erver: n 


Ansm FR7 SN Fn 79 Nd An 44 32_ £5 2、 IN 45 72 FN Dr niny MN ra rci 


|@ | Fle: "Hi\traces\http-post.pcapng" 37... | Packets: 4 * Displayed: 4 (100.0%) * Load time: 0:00.046 Profie: Defauk 


图 17.30 HTTP 响应 包 


以 上 信息 表示 这 是 以 太 网 帧 头 部 信息 。 其 中 ， 源 MAC 地 址 为 c8:3a:35:84:78:le， 目 标 
MAC 地 址 为 00:19:21:3f:c3:e5。 


Internet Protocol Version 4, Src: 123.125.50.26 (123.125.50.26), Dst: 
L9216865:2 (L192.168-5:2} 


以 上 信息 表示 这 是 IPv4 首部 的 详细 信息 。 其 中 ， 源 瑟 地 址 为 123.125.50.26， 目 标 下 
地 址 为 192.168.5.2。 


Transmission Control Protocol，Src Port: http (80), Dst Port: 50389 (50389) ， 
Seq: 1, Ack: 2811, Len: 378 


以 上 信息 是 TCP 首部 的 详细 信息 。 其 中 源 端口 号 为 80， 目标 端口 号 为 50389。 响 应 序 
列 号 为 1， 确 认 编 号 为 2811， 长 度 为 378 个 字 节 。 

Hypertext Transfer Protocol 

以 上 是 HTTP 协议 的 详细 信息 。 下 面 对 该 包 内 容 展 开 进 行 详细 介绍 ， 如 下 所 示 。 


Hypertext Transfer Protocol 


HTTP/1.1 200 OK\r\n # 响 应 行 
[Expert Info (Chat/Sequence) : HTTP/1.1 200 OK\r\n]# 专 家 信息 
[Message: HTTP/1.1 200 OK\r\n] # 响 应 消息 


[Severity level: Chat] 
[Group: Sequence] 


Request Version: HTTP/1.1 # 请 求 版 本 
Status Code: 200 # 状 态 码 
Response Phrase: OK # 响 应 短语 
Server: nginx\r\n #Web 服务 器 类 型 
Date: Fri, 05 Sep 2014 06:23:40 GMT\r\n # 响 应 时 间 
Content-Type: text/plain;charset=UTF-8\r\n # 响 应 包 类 型 
Content-Length: 122\r\n # 响 应 包 长 度 为 122 个 字 节 
[Content length: 122] 
Connection: keep-alive\r\n 坦 使 用 持久 连接 
Set-Cookie: JSESSIONID=FA95CFOF9CO0F7DOD2217CC70105C68F; 


Path=/contact163\r\n 
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Content-Language: zh-CN\r\n # 咱 应 的 语言 格式 

meh 半空 行 

[HTTP response 1/1] 

[Time since request: 0.027334000 seconds] # 响 应 请 求 的 时 间 

[Request in frame: 3] # 响 应 数据 帧 3 的 HTTP 请 求 
Line-based text data: text/plain # 文 本 内 容 


i"eode":200."data":{"rev”:0r"contacts™": [|]."gqroups":[l,r "attachinfos"2[{™” 

uids":[],"type":"frequentContacts"}]},"msg": "S_OK"]}# 响 应 正文 

以 上 就 是 使 用 POST 方法 的 HTTP 响应 包 。 在 该 包 详细 信息 中 ， 可 以 看 到 服务 器 向 客 
户 端 发 送 了 HITP/1.1 200 OK 响应 了 HITP 请 求 包 。 其 中 ,服务 器 类 型 为 nginx， 并 且 使 用 
持久 连接 的 方式 。 

以 上 详细 信息 对 应 到 HTTP 响应 报 文 格式 中 ， 显 示 结 果 如 表 17-10 所 示 。 


表 17-10 和 入 的 由 网 应 提交 机 


ContentLanguage |: [acy | 员 


VY un 


17.4 显示 捕获 文件 的 原始 内 容 


在 Linux 系统 中 提供 了 一 款 名 为 Xplico 的 软件 可 以 解析 Wireshark 捕获 的 包 。Xplico 
工具 可 解析 的 内 容 包 括 每 个 邮箱 (POP、IMAP 和 SMTP 协议 )、 所 有 HTTP 内 容 、VoIP calls 
(SIP) 、FTP 和 TFTP 等 。 本 节 将 介绍 使 用 Xplico 工具 解析 捕获 包 中 所 有 的 内 容 。 


17.4.1 安装 Xplico 


在 Linux 操作 系统 中 ， 默 认 没 有 安装 Xplico 工具 。 该 软件 包 可 以 到 它 的 官方 网 站 
http://www.xplico.org/download 下 载 。 这 里 以 Kali Linux 操作 系统 为 例 ， 介 绍 安装 Xplico 
工具 的 方法 。 在 Kali Linux 的 软件 源 中 提供 了 该 软件 ， 所 以 可 以 直接 安装 。 执 行 命令 如 下 : 

root@kali:~# apt-get install xplico 

执行 以 上 命令 后 ， 运 行 过 程 中 没有 报错 的 话 ，Xplico 工具 就 安装 成 功 了 。 接 下 来 还 需 
要 将 Xplico 服务 启动 ， 才 可 以 使 用 。 由 于 Xplico 基于 Web 界面 ， 所 以 还 需要 启动 Apache 
2 服务 。 

启动 Apache 服务 ， 执 行 命令 如 下 : 


root@kali:~# service apache2 start 
[OK] Start web server: apache2. 


从 输出 的 信息 中 ， 可 以 看 到 apache2 服务 已 启动 。 
启动 Xplico 服务 。 执 行 命令 如 下 : 
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root@kali:~# service xplico start 
[....] Starting : XplicoModifying priority to -1 
So 


从 以 上 输出 信息 ， 可 以 看 到 Xplico 服务 已 成 功 启 动 。 现 在 就 可 以 使 用 Xplico 服务 了 。 
17.4.2 解析 HTTP 包 
下 面 以 前 面 捕获 的 http.pcapng 捕获 文件 为 例 , 使 用 Xplico 工具 对 该 捕获 文件 中 的 包 进 


行 解析 。 具 体操 作 步 又 如 下 所 示 。 
(1) 在 浏览 器 中 输入 http://IP:9876， 将 打开 如 图 17.31 所 示 的 界面 。 


Xplico .:Users:.. - Iceweasel 
File Edit View History Bookmarks Tools Help 
Xplico .:Users: | 富 | | 
和 [@ localhost ve|l| ~ Q 业 二 


图 Most Visitedv 酌 offensive Security WKali Linux 所 kali Docs 四 Exploit-DB 


Info 
-Language- 
Please login 


Username 


RR xplico 


Password 


图 17.31 Xplico 登录 界面 


(2) 该 界面 用 来 登录 Xplico 服务 。Xplico 默认 的 用 户 名 和 密码 都 是 Xplico， 输 入 用 户 
名 和 密码 成 功 登录 Xplico 后 ， 将 显示 如 图 17.32 所 示 的 界面 。 


| en 
Xplico ..:Pols:,. ~ Iceweasel EN 


File Edit View History Bookmarks Tools Help 


Xxplico ..:Pols: | 宝 | 


和 [@ localhost ~v@©[~ Q 电 佛 


Most Visitedv 本 offensive Security WKaliLinux W\ Kali Docs MExploit-DB WAircrack-ng 


Cases List 


Name External Reference Type Actions 


图 17.32 案例 列表 


(3) 从 该 界面 可 以 看 到 没有 任何 内 容 。 默 认 Xplico 服务 中 ， 没 有 任何 案例 及 会 话 。 创 
建 案例 及 会 话 后 , 才 可 以 解析 pcap 文件, 首先 创建 案例 ,在 该 界面 单 击 左 侧 栏 中 的 New Case 
命令 ， 将 显示 如 图 17.33 所 示 的 界面 。 
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Xplico ..:Pols:.. - Iceweasel ua | 
File Edit View History Bookmarks Tools Help 
| Xxplico :Pots | 鲁 | 
和 [localnost v“@ [~ 避 且 人 坷 | 


回 Most Visitedv 辆 offensive Security WKaliLinux WKali Docs Exploit-DB MAircrack-ng 


ba | i 


RR DATA ACQUISITION 
© Uploading PCAP capture file/s Live acqulsition 


Case name [res 
External reference 


图 17.33 新建 案例 


(4) 在 该 界面 选择 Uploading PCAP capture file/s， 并 指定 案例 名 。 本 例 中 设置 为 Test， 
然后 单 击 Create 按钮 ， 将 显示 如 图 17.34 所 示 的 界面 。 


Xplico ..:Pols:.. ~ Iceweasel 
File Edit View History Bookmarks Tools Help 
|iC Xplico ..:Pols: | 时 | 


@ | 多 localhost ~€ [SG~ 1 局 上 党 


加 Most Visitedv 网 offensive Security VW Kali Linux \ KaliDocs MExploit-DB MAircrack-ng 


The Case has been created | 


Cases List NR 
Name External Reference Type Actlons 
\ Test Rles Delete S| 


图 17.34 新 建 的 案例 


(5) 在 该 界面 的 案例 列表 中 显示 了 新 建 的 案例 。 此 时 单 击 Test， 查 看 案例 中 的 会 话 ， 
如 图 17.35 所 示 。 


i 


Xplico .:Sols:.. - lceweasel 
File Edit View History Bookmarks Tools Help 
| Xplico :Sols: | 时 | 
和 [Blocanost 一 ~ [~ oooge 可 上 党 | 


园 Most Visitedv 辆 offensive Security WkKaliLinux WKaliDocs MExploit-DB MAircrack-ng 


Xplico 


List of listening sessions of case: Test 
Name Start Time End Time Status Actions 


图 17.35 监听 的 会 话 
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(6) 从 该 界面 可 以 看 到 没有 任何 会 话 信息 ， 接 下 来 创建 会 话 。 
Session 命令 ， 将 显示 如 图 17.36 所 示 的 界面 。 


单 击 左 侧 栏 中 的 New 


Xplico ..:Sols:.. ~ Iceweasel 


File Edit View History Bookmarks Tools Help 


| Xplico :sots 


和 [®@localhost ~ Cl 


馈 Most Visitedv 本 offensive Security WKali Linux WKali Docs 加 Exploit-DB WAircrack-ng 


[| New listening session 


| Session name 
R HTIP 


Create 


图 17.36 新建 会 话 


(7) 在 该 界面 Session name 对 应 的 文本 框 中 输入 想 创建 的 会 话 名 ， 然 后 单 击 Create 按 


钮 ， 将 显示 如 图 17.37 所 示 的 界面 。 


Xplico ..:Sols:. ~ Iceweasel 
Eile Edit View History Bookmarks Iools Help 


| Xplico ,sots | 宣 | 


人 [四 tocatnost 


圈 Most Visitedv 辆 offensive Security WKat Linux W Kali Docs MExploit-DB WAircrack-ng 


The Session has been created 


List of listening sessions of case: Test 
Name 
HTTP 


Start Time 
0000-00-0000:00:00 


End Time 
0000-00-00 00:00:00 


Status 
EMPTY 


Fenhan 


图 17.37 新 建 的 会 话 


(8) 从 该 界面 可 以 看 到 新 建 了 


Actlons 


-个 名 为 HITP 的 会 话 。 此 时 进入 该 会 话 中 ， 就 可 以 加 


载 捕获 文件 解析 包 中 的 详细 信息 了 。 单 击 会 话 名 HITP， 将 显示 如 图 17.38 所 示 的 界面 。 


Xplico .:Sols:.. ~ Iceweasel 
File Edt View History Bookmarks Tools Help 
| Xplico .:Sols:. | 审 | 


让 


人 |@ localhost 


v€ [Gv or 


图 Most Visitedv 网 offensive Security WKaliLinux WkKali Docs MExploit-DB 册 Aircrack-ng 


可 县 便 | 


Case and Session 
name 


Test-> HTTP 


Upoad 
Mee List of all pcap files. 


Post 0 Number 0 Received0 
Get 0 Contents0 Sent 0 Bn 
ownlo 
Video 0 Video 0 Unreaded/0 uy yee 和 1 
[ 


图 17.38 上 传 pcap 文 件 
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Cap. StartTime (0000-00-00 00:00:00 Ea 
Cap. End Time (0000-00-00 00:00:00 Browse.. | http.pcapng 
Status EMPTY 
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(9) 该 界面 是 用 来 显示 捕获 文件 详细 信息 的 。 目 前 还 没有 上 传 任何 捕获 文件 ， 所 以 单 
击 Browse 按钮 选择 要 解析 的 捕获 文件 。 然 后 单 击 Upload 按钮 ， 将 显示 如 图 17.39 所 示 的 
界面 。 


Xplico ..:Sols:.. - Iceweasel a 
Eile Edit View History Bookmarks Tools Help 


i xplico ..:Sols:. | 窜 | 


和 [@ localhost sview/l ~€) (BY sooue 引 时 便 


图 Most Visitedv 本 offensive Security WKali Linux VW Kali Docs MExploit-DB WAircrack-ng 


Case and Session nameest -> HTTP PCAP-over-IP TCP port 30002. 
Cap. Start Time 2014-09-12 14:18:47 Add new pcap file. 
Cap. End Time 2014-09-12 14:19:40 Bi No file selected. 
I Status DECODING COMPLETED ee 
[own 二 Upoad 
[Lowal  ] Filter List of all pcap files. 
TT ac ae ee 
post 23 Number 0 Received 0 Total 0 
Get 571 Contents0 Sent 0 Connectino Received 0 
Video 0 Video 0 Unreadedy/0 Donioadie® Sent 0 
an Images 432 Images 0 eds-0 
R HTTP 0 
Users 0 Server 0 ARP/ICMRy6 Audio 0 Articles 0 
Chats 00 Channels0/0/0 加 


图 17.39 成 功 上 传 了 捕获 文件 


(10) 从 该 界面 可 以 看 到 分 为 几 个 部 分 。 关 于 捕获 文件 的 各 类 型 数据 包 ， 可 以 在 Xplico 
对 应 地 查看 。 该 界面 显示 了 10 种 类 型 ， 如 HITP、MMS、Emails、FTP-TFTP-HTTP file 
和 Web Mail 等 。 在 该 界面 可 以 看 到 HITP 类 型 中 ， 显 示 了 一 些 包 信息 。 如 查看 访问 的 站 
点 信息 ， 在 左 侧 栏 中 单 击 Web 并 选择 Site 命令 ， 将 显示 如 图 17.40 所 示 的 界面 。 


Xplico :Webs:.. ~ Iceweasel | 
Eile Edit View History Bookmarks Tools Help 
| Xplico -wehs | 时 | 
和 [tcathost3 bsind 


“Ce 可 昂 八 
轿 Most Visitedv 国 offensive Security 所 Kati Lnux WKali Docs RExplot-D3 WAircrack-ng 


For a complete view of html page set your browser to use Proxy, and point it to Web server. 


Web URLs: 加 Html Image Flash Ovideo OAudio OJsON ”OA 
Search: Go 


Date url Size Method info 
2014-09-12 14:19:38 ieba ,baidu comVtsmg7query=get-_data&uid=fff26c69796171655968655736d7a8c2e&stamp1 4 GET infoxml 


CT 20140%12 14:1936 p05.baidu.com/wh/o htmltrehttp%3AW2 FX2 Rieda.baidu com WZFIX3HeW3D utt-8%26 ww3 426 GET infoxml 


2014-09-12 14:19:35 tieba.baiducemybilboard/puahiogyyda_tustrtbdeada_pege-fBade_iocete-ifrems&da_ciiel 9 er inloxnml 
2014.09-12 14:19:35 em.pas baidu com/pirel7dspid=65092908 et_data= ol 


2014- 


msg-baidu.com/ms?ct=18 206 GET infoxml 


msB.baldu.comymsB/msg_dataGetmsgcount?fromems8 220 GET Infoxml 
tieba.baidu.com/f/user/json_userinfo? =1410502773567 328 GET infoxml 
cb.baidu.com/ecom?adn=48at=68&aurl=&cad=l&ccd=24&cec=gb2312& cv=158ch=0&col=2h- S032 GET infoxml 


2014-09-12 14: ch.baldu.com/ecom7adn=28at=6&aurls&cad=l Sccd=24&cecgb23128 v=158ch=0&col=2h- so GET infoxml 
2014-09-12 14:19:30 tiebs.baidu com/de/common/imgths 97 GET infoxml 
2014-09-12 14:19:30 jiaoyu.baidu.com/tieda/getfloordata?2t=tieba2&token=751381d915442279122c361e8bSedec 4687 GET infoxml 


12 14: 


ebs.baidu.com/p/2990049813 48985 GE Infoxml 


图 17.40 访问 的 所 有 站 点 信息 
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(11) 在 该 界面 可 以 看 到 访问 的 所 有 站 点 ， 此 时 可 以 在 该 界面 单 击 任何 一 个 UR1 查看 。 
如 打开 URI 为 tieba.baidu.com/p/2990049813 的 链接 ， 将 显示 如 图 17.41 所 示 的 界面 。 


Ubuntu 吧 导航 吧 规 、 手 册 ) (新 人 及 求助 必 看 ) ubuntu 吧 _ 百 度 贴吧 -ice LE 


| ) @® localhost:9876/webs/resBody/538 | 


面 Q 屿 口 | 国会 只 官网 


Ubuntu 


豆 地 


图 17.41 


Pn 新 闻 网 页 贴吧 知道 音乐 图 片 视频 地 图 百科 文库 


+ 改 虱 
[G) ubuntu 吧 45.364 245732 加 
4 
日 看 贴 。 回 图 片 。 友 精 品 。 网游 戏 加 
52 回复 贴 , 共 1 页 只 
Ubuntu 吧 导航 ( 吧 规 、 手 册 ) ( 新 人 及 求助 必 看 ) 只 看 楼 主 收藏 


局 一 、ubuntu 吧 吧 规 


【入 吧 必 看 】 百 度 Ubuntu 吧 吧 务 规则 、 投 诉 、 建 议 


| 


访问 过 的 网 页 


(12) 从 该 界面 可 以 看 到 ， 在 捕获 包 时 用 户 正在 访问 Ubuntu 贴吧 。 在 Xplico 工具 中 ， 
还 可 以 查看 其 他 类 型 信息 ， 如 Image、Flash、Video 等 。 如 查看 捕获 包 中 访问 过 的 图 片 ， 
可 选择 Web URLs: 行 的 Image 选项 ， 然 后 单 击 Go 按钮 ， 将 显示 如 图 17.42 所 示 的 界面 。 


着 


。348 。 


Xplico ..:Webs:.. ~ lceweasel 


Eile Edit View History Bookmarks Tools Help 
Xxplico :Webs:,. 


[EJ 


和 [@ localhost 9876/web: 


“| Ev ceo 


© Cha 
© Shell 


© Undecoded 


enhance 


网 Most Visitedv 本 offensive Security VKali Linux \ Kali Docs MExploit-DB MAircrack-ng 


ER I EP 
2014- 35 Static.tieba .baldu.com/tbyimg/trackcgif7cllent_type=pc-web&tasketbda&d 4 GET Infoxml 
2014-09-12 14:19:35 wn.pos.baidu.com/adx.php?c=cz11IM2IyY]JMOYWMYNmM3MWZmAHQ9MTQ: 49 GET Infoxml 
2014-09-12 14:19:35 cms.gtags.net/m?v=9&baldu_user_id=a0828559902a0e2a94415848908fe1 35 GET infoxml 
2014-09-12 14:19:33 bescdn.baidu.com/resource/fFhOZUJIBIsaZmsalpP_XWRLIpO_NFVOZUhLzm 29275 GET infoxml 
2014-09-12 14:19:33 bcscdn.baidu.com/resource/{FhOZUJIBIVMBmjtipp_XWRLIpO_NFVOZUhLZm 15012 GET infoxml 
2014-09-12 14:19:33 bcscdn.baidu.com/resource/fFhOZUJIBIVqZIALIpP_XWRLIpO_NFVOZUhLZmh 18825 GET infoxml 
2014-09-12 14:19:33 bcscdn.baidu.com/resource/fFhOZUjiuWViuUjalpP_XWRLIpO_NFVOZUhLZm’ 2932 GET infoxml 
2014-09-12 33 bcscdn.baidu.com/resource/fFhOZUjIBIsIZWCYIpP_XWRLIpO_NFVOZUhLZm 20244 GET infoxml 
2014-09-12 33 vslimg3.baldu.com/resource/fFhOBW8SZUAqBm8BenFvkrujenGv3XURbzIgLB 175487 GET Infoxml 
2014-09-12 14:19:33 wn.pos.baldu.com/adx.php?c=c203NjhmNzAxXMGEzM2M3MWNhAHQSMTQ: 49 GET 。 Infoxml 
2014-09-12 14:19:30 Imgsre.baidu.com/tieba/pic/item/bba1cd11728b47103dc688dacOcec3fdfc0 5395 GET 。 Infoxml 
2014-09-12 14:19:30 imgsrc-baidu.com/forum/w%3D580%3Bcp%3Dtieba%2C10%2C371%38ap% 20008 GET infoxml 
2014-09-12 14:19:30 imgsre.baidu.com/forum/w%3D580/sign=3affe939087b02080cc93fe952dbt 33354 GET infoxml 
2014-09-12 14:19:30 Imgsre.baidu.com/forum/w%3D580/sign=07ee7a9cObf79052ef1147363cf2¢ 25644 GET Infoxml 
2014-09-12 imgsrc.baidu.com/tieba/pic/item/7aec54e736d12f2e6d50307c4cc2d56285 38448 GET infoxml 
2014-09-12 tb.himg.baidu.com/sys/portrait/item/daea64687164716ba502 6876 GET infoxml 


图 17.42 访问 过 的 图 片 
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(13) 在 该 界面 显示 了 访问 过 的 所 有 图 片 的 链接 ， 在 该 页 面 的 最 底部 显示 了 总 共 的 页 
数 (本 例 中共 27 页 ) 。 用 户 可 以 随便 打开 任何 一 个 链接 ， 显 示 图 片 信息 。 这 里 打开 一 个 链 
接 ， 显 示 界 面 如 图 17.43 所 示 。 


542 (JPEG Image, 580 x 433 pixels) - Scaled (99%) - Iceweasel hr 


localhost:9876/webs/resBody/542 


DEN install (for manufecturers) 
Check di 


sc for defects 


Entry ls highiighted. 
0 edit the commends 


图 17.43 显示 图 片 信息 


(14) 以 上 图 片 就 是 解析 包 中 的 信息 后 获取 到 的 图 片 信 息 。 如 果 用 户 发 现 这 样 查看 图 
片 内 容 不 是 很 方便 的 话 ， 也 可 以 直接 选择 左 侧 栏 中 的 WeblImage 选项 查看 ， 显 示 界 面 如 图 
17.44 所 示 。 


了 
Xplico ..:Webs:.. - Iceweasel 


File Edit View History Bookmarks Tools Help 


i Xplico ..:Webs: | 富 | 
和 和 [@ localhost ve@ [DY go 电 淖 
加 Most Visitedv 本 offensive Security WKali Linux WKali Docs 四 Exploit-DB 彤 Aircrack-ng 


Go 


© voip static tieba.baidu.com wmpos baidu com ams.gtags_net bescdn baiducom 


CE Image or Page Image or Page image or Page lmage or Page 
© Chat 5 -= 
© Shell 一 
© Undecoded = 
Fe bescdn baidu com bescdn batdu com bescan baidu com bescdn baiducom 
Image or Page Image or Page Image or Page Image or Page 
。 HE 号 
vsimg3.baidu com wn pos.baidu com imgsrcbaiducom imgsrcbaiducom 
Tmage or Page Image or Page Image or Page Image or Page 
11213141516171819 | 
Previous Le 有 网 Next 、 


图 17.44 图 片 信息 
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(15) 在 该 界面 可 以 直观 地 看 到 访问 过 的 图 片 。 此 时 ， 可 以 直接 单 击 图 片 下 面 的 Image 
或 Page 链接 查看 图 片 的 详细 信息 。 其 中 ，Image 显示 的 是 图 片 ; Page 显示 的 是 图 片 所 在 的 
网 页 。 如 图 17.45 和 图 17.46 所 示 ， 分 别 表示 Image 和 Page 链接 的 信息 。 


ubuntu 吧 导 航 《 吧 规 、 手 册 》 (新 人 及 求助 必 看 ) -ubuntu 吧 _ 百 度 轩 且 时 
着 localhost 9876/webs/resBody/538 
到 日 
Ubuntu 吧 导航 ( 吧 规 、 手 册 ) ( 新 人 及 求助 必 看 ) | 
| 
计 济 
i 
540 (PN CN- NER. 
虚拟 机 可 以 用 吗 ? a 
@ localhost:9876/v es 
全 
中 龙 1983 
aasa 从 
Eee Dp 


图 17.46 ”Page 信息 


图 17.45 Image 信息 
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HTTPS 全 称 是 Hypertext Transfer Protocol over Secure Socket Layer， 即 基于 SSL 的 
HTTP 协议 。 虽 然 HTTPS 使 用 了 HTTP 协议 ， 但 它 使 用 了 不 同 的 默认 端口 ， 以 及 一 个 加 密 
和 身份 验证 层 (HTTP 与 TCP 之 间 ) 。 该 协议 最 初 研发 由 网 景 公司 进行 。 该 协议 提供 了 身 
份 验证 与 加 密 通 信 方 法 ， 现 在 被 广泛 用 于 互联 网 上 安全 敏感 的 通信 。 本 章 将 介绍 HTTPS 
协议 抓 包 分 析 。 


18.1 HTTPS 协议 概述 


HTTPS (安全 超 文本 传输 协议 ) 由 Netscape 开发 并 内 置 于 其 浏览 器 中 ， 用 于 对 数据 进 
行 压缩 和 解压 操作 , 并 返回 网 络 上 传送 回 的 结果 。HTTPS 实际 上 应 用 了 Netscape 的 安全 套 
接 字 层 (SSL) 作为 HITP 应 用 层 的 子 层 。 本 节 将 介绍 HTTPS 协议 概述 。 


18.1.1 什么 是 HTTPS 协议 


HTTPS (Hypertext Transfer Protocol over Secure Socket Layer) 是 以 安全 为 目标 的 HTTP 
通道 ， 简 单 讲 是 HITP 的 安全 版 。 即 HITP 下 加 入 SSL 层 ，HTTPS 的 安全 基础 是 SSL， 因 
此 加 密 的 详细 内 容 就 需要 SSL。HTTPS 是 一 个 URI scheme (抽象 标识 符 体 系 ) ， 句 法 类 同 
http:// 体 系 ， 用 于 安全 的 HTTP 数据 传输 。https://URL 表明 它 使 用 了 HTTP, 但 HTTPS 存 
在 不 同 于 HTTP 的 默认 端口 及 一 个 加 密 和 身份 验证 层 (在 HTTP 于 TCP 之 间 ) 。 

HTTPS 使 用 端口 443， 而 不 是 像 HTTP 那样 使 用 端口 80 来 和 TCP/IP 进行 通信 。SSL 
使 用 40 位 关键 字 作为 RC4 流 加 密 算法 ， 这 对 于 商业 信息 的 加 密 是 合适 的 。HTTPS 和 SSL 
支持 使 用 X.509 数字 认证 ， 如 果 需 要 的 话 用 户 可 以 确认 发 送 者 是 谁 。 也 就 是 说 它 的 主要 作 
用 可 以 分 为 两 种 ， 一 种 是 建立 一 个 信息 安全 通道 ， 来 保证 数据 传输 的 安全 ;， 另 一 种 就 是 确 
认 网 站 的 真实 性 ， 凡 是 使 用 了 https 的 网 站 , 都 可 以 通过 单 击 浏览 器 地 址 栏 的 锁 头 标志 来 查 
看 网 站 认证 之 后 的 真实 信息 ， 也 可 以 通过 CA 机 构 颁发 的 安全 签 章 来 查询 。 


18.1.2 HTTP 和 HTTPS 协议 的 区 别 


HTTPS 实际 上 由 HTTP+SSL/TLS 两 部 分 组 成 ， 也 就 是 在 HTTP 上 又 加 了 一 层 处 理 加 
密 信 息 的 模块 。HTTP 和 HTTPS 协议 的 区 别 如 下 所 示 。 

口 HITPS 协议 需要 到 CA 申请 证 书 ， 一 般 免费 证 书 很 少 ， 需 要 交 费 。 

口 HITP 是 超 文 本 传输 协议 , 信息 是 明文 传输 。 HTTPS 则 是 具有 安全 性 的 ssl 加 密 传 
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输 协 议 。 
口 HTTP 和 HTTPS 使 用 的 是 完全 不 同 的 连接 方式 ， 用 的 端口 也 不 一 样 ， 前 者 是 80， 
后 者 是 443。 
口 HTTP 的 连接 很 简单 ， 是 无 状态 的 ，HTTPS 协议 是 由 SSL+HTTP 协议 构建 的 可 进 
行 加 密 传输 和 身份 认证 的 网 络 协议 ， 比 HHTP 协议 安全 。 


18.1.3 HTTPS 工作 流程 
使 用 HTTPS 协议 工作 时 ， 服 务 端 和 客户 端的 信息 传输 都 会 通过 TLS 进行 加 密 ， 所 以 
传输 的 数据 都 是 加 密 后 的 数据 。 下 面 将 介绍 HITPS 协议 的 工作 流程 ， 如 图 18.1 所 示 。 
客户 端 (浏览 器 ) 服务 端 


| 1 请 求 https 连 接 ( 


{返回 证 书 ( 公 钥 )} 
:产生 随机 (对 称 ) 密 钥 () 


3: 使 用 公 钥 对 对 称 密 钥 加 密 () 


4: 发 送 加 密 后 的 对 称 密 钥 ( 
长 一 一 一 一 一 一 一 一 一 一 一 一 一 一 


5 通过 对 称 密 钥 加 密 的 密 文通 信 () 


图 18.1 HTTPS 工作 流程 


(1) 客户 使 用 https 的 URL 访问 buy 服务 器 ， 要 求 与 Web 服务 器 建立 SSL 连接 。 

(2) Web 服务 器 收 到 客户 端 请 求 后 ， 会 将 网 站 的 证 书信 息 〈 证 书 中 包含 公 钥 ) 传送 一 
份 给 客户 端 。 

(3) 客户 端的 浏览 器 与 Web 服务 器 开始 协商 SSL 连接 的 安全 等 级 ， 也 就 是 信息 加 密 
的 等 级 。 

(4) 客户 端的 浏览 器 根据 双方 同意 的 安全 等 级 ， 建 立会 话 密 钥 ， 然 后 利用 网 站 的 公 钥 
将 会 话 密 钥 加 密 ， 并 传送 给 网 站 。 

(5) Web 服务 器 利用 自己 的 私 钥 解 密 出 会 话 密 钥 。 

(6) Web 服务 器 利用 会 话 密 钥 加 密 与 客户 端 之 间 的 通信 。 


18.2 SSL 概述 


SSL (Secure Sockets Layer， 安 全 套 接 层 ) 及 其 继任 者 传输 层 安全 (Transport Layer 


Ts 
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Security，TLS) 是 为 网 络 通信 提供 安全 及 数据 完整 性 的 一 种 安全 协议 。TLS 和 SSL 在 传输 
层 对 网 络 连接 进行 加 密 。 本 节 将 介绍 SSL 概述 。 


18.2.1 什么 是 SSL 


SSL 为 Netscape 所 研发 ， 用 以 保障 在 Intemet 上 数据 传输 之 安全 ， 利 用 数据 加 密 
(Encryption) 技术， 可 确保 数据 在 网 络 上 的 传输 过 程 中 不 会 被 截取 及 窃听 。SSL 协议 当前 
版 本 为 3.0， 它 被 广泛 地 应 用 于 Web 浏览 器 与 服务 器 之 间 的 身份 认证 和 加 密 数 据 传输 。 

SSL 协议 位 于 TCP/IP 协议 与 各 种 应 用 层 协议 之 间 ， 为 数据 通信 提供 安全 支持 。SSL 
协议 可 分 为 两 层 ， 分 别 是 SSL 记录 协议 (SSL Record Protocol) 和 SSL 握手 协议 (SSL 
Handshake Protocol) 。 其 中 ，SSL 记录 协议 建立 在 可 靠 的 传输 协议 (TCP) 之 上 ， 为 高 层 
协议 提供 数据 封装 、 压 缩 和 加 密 等 基本 功能 的 支持 。SSL 握手 协议 建立 在 SSL 记录 协议 之 
上 ， 用 于 在 实际 的 数据 传输 开始 前 ， 通 信 双 方 进行 身份 认证 、 协 商 加 密 算法 和 交换 加 密 密 


三 | 


18.2.2 SSL 工作 流程 


SSL 工作 分 为 两 个 阶段 ， 分 别 是 服务 器 认证 阶段 和 用 户 认 证 阶段 。 下 面 分 别 介绍 这 两 
个 阶段 的 工作 流程 。 


1. 服务 器 认证 阶段 


(1) 客户 端 向 服务 器 发 送 一 个 开始 信息 “Hello”， 以 便 开 始 一 个 新 的 会 话 连接 。 

(2) 服务 器 根据 客户 的 信息 确定 是 否 需 要 生成 新 的 主 密 钥 。 如 果 需 要 ， 则 服务 器 在 响 
应 客户 的 “Hello” 信 息 时 ， 将 包含 生成 主 密 钥 所 需 的 信息 。 

(3) 客户 端 根据 收 到 的 服务 器 响应 信息 ， 产 生 一 个 主 密 钥 ， 并 用 服务 器 的 公开 密 钥 加 
密 后 传 给 服务 器 。 

(4) 服务 器 回复 该 主 密 钥 ， 并 返回 给 客户 一 个 用 主 密 钥 认证 的 信息 ， 以 此 让 客户 认证 
服务 器 。 


2. 用 户 认 证 阶段 

在 此 之 前 ， 服 务 器 已 经 通过 了 客户 认证 ， 这 一 阶段 主要 完成 对 客户 的 认证 。 经 认证 的 
服务 器 发 送 一 个 提问 给 客户 ， 客 户 则 返回 〈 数 字 ) 签名 后 的 提问 及 其 公开 密 钥 ， 从 而 向 服 
务 器 提供 认证 。 


18.2.3 ”SSL 协议 的 握手 过 程 


SSL 协议 既 用 到 了 公 钥 加 密 技 术 〈 非 对 称 加 密 ) ， 又 用 到 了 对 称 加 密 技 术 。SSL 对 传 
输 内 容 的 加 密 采 用 对 称 加 密 ， 然 后 对 称 加 密 的 密 钥 使 用 公 钥 进行 非 对 称 加 密 。 这 样 做 的 好 
处 是 ， 因 为 对 称 加 密 技术 比 公 钥 加 密 技 术 的 速度 快 ， 可 用 来 加 密 较 大 的 传输 内 容 。 公 钥 加 
密 技 术 相对 较 慢 ， 提 供 了 更 好 的 身份 认证 技术 ， 可 用 来 加 密 对 称 加 密 过 程 使 用 的 密 钥 。 下 
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面 将 详细 介绍 SSL 协议 的 握手 过 程 。 

(1) 客户 端 ( 浏 览 器 ) 向 服务 器 传送 客户 端 SSL 协议 的 版 本 号 、 加 密 算法 的 种 类 、 产 
生 的 随机 数 以 及 其 他 服务 器 和 客户 端 之 间 通 信和 所 需要 的 各 种 信息 。 

(2) 服务 器 向 客户 端 传送 SSL 协议 的 版 本 号 、 加 密 算法 的 种 类 、 随 机 数 以 及 其 他 相关 
信息 ， 同 时 服务 器 还 将 向 客户 端 传 送 自己 的 证 书 。 

(3) 客户 端 利用 服务 器 传 过 来 的 信息 验证 服务 器 的 合法 性 。 服 务 器 的 合法 性 包括 证 书 
是 否 过 期 ， 发 行 服务 器 证 书 的 CA 是 否 可 靠 ， 发 行者 证 书 的 公 钥 能 否 正确 解 开 服务 器 证 书 
的 “发 行者 的 数字 签名 ”， 以 及 服务 器 证 书 上 的 域名 是 否 和 服务 器 的 实际 域名 相 匹配 。 如 
果 合 法 性 验证 没有 通过 ， 则 通信 将 断 开 ， 如 果 合 法 性 验证 通过 ， 将 继续 进行 第 (4) 步 。 

(4) 客户 端 随机 产生 一 个 用 于 后 面 通信 的 “对 称 密码 ”， 然 后 用 服务 器 的 公 钥 (服务 
器 的 公 钥 从 步骤 (2) 中 的 服务 器 的 证 书 中 获得 ) 对 其 加 密 。 然 后 将 加 密 后 的 “ 预 主 密码 ” 
传 给 服务 器 。 

(5) 如 果 服 务 器 要 求 客户 进行 身份 认证 在 握手 过 程 中 为 可 选 ) ， 用 户 可 以 建立 一 个 
随机 数 。 然 后 对 其 进行 数据 签名 ， 将 这 个 含有 签名 的 随机 数 和 客户 自己 的 证 书 以 及 加 密 过 
的 “ 预 主 密码 ”一 起 传 给 服务 器 。 

(6) 如 果 服 务 器 要 求 客户 进行 身份 认证 ， 服 务 器 需要 检验 客户 证 书 和 签名 随机 数 的 合 
法 性 。 具 体 的 合法 性 验证 过 程 包括 检查 客户 的 证 书 使 用 日 期 是 否 有 效 ， 为 客户 提供 证 书 的 
CA 是 否 可 靠 , 发 行 CA 的 公 钥 能 否 正 确 解 开 客户 证 书 的 发 行 CA 的 数字 签名 ,以 及 检查 客 
户 的 证 书 是 否 在 证 书 废止 列表 (CRL) 中 。 如 果 校 验 没 有 通过 ， 通 信 立 刻 中 断 ， 如 果 验 证 
通过 ， 服 务 器 将 用 自己 的 私 钥 解 开 加 密 的 “ 预 主 密码 ”， 然 后 执行 一 系列 步骤 来 产生 主 通 
信 密 码 〈 客 户 端 也 将 通过 同样 的 方法 产生 相同 的 主 通 信 密 码 ) 。 

(7) 服务 器 和 客户 端 用 相同 的 主 密 码 ， 即 “通话 密码 ”， 一 个 对 称 密 钥 用 于 SSL 协议 
的 安全 数据 通信 的 加 解密 通信 。 同 时 在 SSL 通信 过 程 中 还 要 确保 数据 通信 的 完整 性 ， 防 止 
数据 通信 中 的 任何 变化 。 

(8) 客户 端 向 服务 器 端 发 出 信息 ， 指 明 后 面 的 数据 通信 将 使 用 步骤 (7) 中 的 主 密 码 
为 对 称 密 钥 ， 同 时 通知 服务 器 客户 端的 握手 过 程 结束 。 

(9) 服务 器 向 客户 端 发 出 信息 ， 指 明 后 面 的 数据 通信 将 使 用 步骤 〈7) 中 的 主 密 码 为 
对 称 密 钥 ， 同 时 通知 客户 端 服 务 器 端的 握手 过 程 结束 。 

(10) SSL 的 握手 部 分 结束 ，SSL 安全 通道 的 数据 通信 开始 。 客 户 端 和 服务 器 开始 使 用 
相同 的 对 称 密 钥 进行 数据 通信 ， 同 时 进行 通信 完整 性 的 校 验 。 


18.3 ”捕获 HTTPS 数据 包 


通过 前 面 的 详细 介绍 ， 大 家 对 HITPS 有 了 清晰 的 认识 。 为 了 在 后 面 对 HTTPS 数据 包 
进行 详细 分 析 ， 本 节 将 介绍 捕获 HITPS 的 数据 包 。 


18.3.1 使 用 捕获 过 滤器 


捕获 HTTPS 协议 数据 包 ， 具 体操 作 步 又 如 下 所 示 。 


.354 


第 18 章 HTTPS 协议 抓 包 分 析 


(1) 启动 Wireshark 工具 。 
(2) 在 启动 的 主 界面 菜单 栏 中 依次 选择 Capture|Options 命令 ,或 者 单 击 工 具 栏 中 的 图 
(显示 捕获 选项 ) 图 标 打 开 Wireshark 捕获 选项 窗口 ， 如 图 18.2 所 示 。 


本 地 连接 
fs80-60e1572f14abfed48 
19216852 


© Capture on all interfaces 
WD) Use promiscuous mode on all interfaces 


Ee Egg 


|| Capture Fes Dsplay Options 
Fie: [CAWiresharipetps peapng [Browse)] Update list of packets in real time 


| © vse mutiple fles 图 Use pesp-ng formet TD) eutomaticaly scroll during live capture 


Next file every |megabyte(s) 


Next file every S|minute(s) T-] 加 Hide capture info dialog 


1 
1 

Ring buffer with |2 月 fs Name Resouton 
1 


Stop capture after 记 fie(s) 回 Resolkve MAC addresses 


Stop Capture Automaticaly After… 器 R i 
四 |1 packet(s) 


Resolve transport-layer name 
日 lmegabyte(s) | ~ 


园 Use grternal network name resolver 


图 18.2 ”捕获 选项 窗口 


(3) 在 该 界面 选择 捕获 接口 , 输入 捕获 过 滤器 及 捕获 文件 的 保存 位 置 , 如 图 18.2 所 示 。 
配置 完 以 上 信息 后 ， 单 击 Start 按钮 ， 将 显示 如 图 18.3 所 示 的 界面 。 
有 capturing from 本 地 连 提 (tcp) [Wireshark 1107 (v1.1077-0-g6b9311 from master-110)] eh x 
Ele Edt Vew Go Capture Anayze Statstcs Telephony IToos jntemaks Hep 
全 故而 国 克 | 马 旬 X 人 六 oow 四 于 和 | 图 上 日 QQQDI 本 > 
加 ey Clear Apply Save 


图 18.3 开始 捕获 TCP 数据 包 


(4) 看 到 以 上 界面 , 表示 已 开始 捕获 数据 包 。 由 于 目前 没有 运行 任何 TCP 协议 的 程序 ， 
所 以 在 Packet Lists 面板 中 没有 任何 数据 包 。 此 时 ， 通 过 访问 Web 服务 器 以 捕获 TCP 数据 
包 。 典 型 使 用 HITPS 协议 的 网 站 一 般 是 银行 系统 的 网 站 ， 还 有 一 个 典型 使 用 HITPS 协议 
的 网 站 就 是 腾讯 的 QQ 邮箱 。 这 里 通过 登录 QQ 邮箱 ， 捕 获 HTTPS 协议 的 数据 包 。 

(5) 在 浏览 器 中 输入 URL 地 址 mail.qq.com, 将 弹出 登录 邮箱 的 账户 名 和 密码 对 话 框 。 


Ss 
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然后 输入 要 登录 的 QQ 账户 和 密码 ， 并 登录 邮箱 。 此 时 Wireshark 将 捕获 到 大 量 的 数据 包 ， 
如 图 18.4 所 示 。 


per we aa 
He Edt Vew Go Capture Anayze Statstics Telephony Ioos jntemas Hep 

四 @@ 大 古本 | 马 牟 其 爷 | 六 9 训 呈 于 和 业 | 四 加 QQQDI 区 加 罗 基 | 加 
Fiher [= ] epresson- Clesr Apply Save 

No. Time 


4 0.059567000 .168. 5. 58.251. 61.186 54 50099 > https [ACK] Seq=1 Ack=l Win=l 
5 0.060182000 .168. 5. .251. 61.186 252 Client Hello 


7 0. 060617000 .168.5. .251. 61. 54 50100 > https [ACK] Seq=l Ack=l Win=l 

8 0. 064233000 避 252 Client Me11g 

9 0.119703000 加 50 https > 50099 [ACK] seq=1 Ack=199 win 

10 0.125772000 1494 Server Hello 

11 0.125870000 54 50099 > https [ACK] Seq=199 Ack=1441 

12 0.126987000 性 34 对 [TCP segment of a reassembled PDU] 

13 0.127057000 .251. 54 50099 > https [ACK] Seq-199 Ack=2881 

14 0.128090000 58.251.61. 1253 Certificate 

15 0.128144000 168.5. 51 54 50099 > hrrps [ACK] Seq=199 ACck=4080 ~ 
4 » 


Fle: “Z:\https.pcapng” 1248 kB 00:0... | Packets: 2300 * Dsplayed: 23... | Profiie: Defauk 


18.4 捕获 的 HITPS 数据 包 


(6) 从 该 界面 Info 列 的 内 容 中 ， 可 以 看 到 这 些 包 都 使 用 的 是 HTTPS 协议 传输 的 。 在 
Protocol 列 可 以 看 到 有 TCP 协议 和 TLSv1 协议 。 

在 图 18.4 所 示 的 状态 栏 中 , 可 以 看 到 httpspcapng 捕获 文件 中 共 捕 获 了 2300 个 数据 包 。 
如 果 不 使 用 一 些 其 他 技巧 ， 显 然 不 容易 对 数据 包 进 行 分 析 。 下 面 将 通过 对 数据 包 着 色 ， 在 
Wireshark 的 Packet List 面板 中 高 亮 显示 一 个 会 话 的 数据 包 。 


18.3.2 ”显示 过 滤 数 据 包 


前 面 提 到 HITPS 是 由 HTTP 和 SSL/TLS 两 部 分 组 成 的 。 所 以 在 进行 HITPS 传输 之 前 ， 
也 要 进行 TCP 三 次 握手 建立 连接 。 根 据 前 面 介绍 过 的 TCP 标志 位 ， 可 以 判断 出 属于 TCP 
三 次 握手 的 数据 包 。 本 小 节 将 介绍 显示 过 滤 HTTPS 数据 包 。 

显示 过 滤 HTTPS 数据 包 的 具体 操作 步骤 如 下 所 示 。 

(1) 打开 https.pcapng 捕获 文件 ， 显 示 界 面 如 图 18.5 所 示 。 


https.pcapng [Wireshark 1107 (v1.10.7-0-g6b931a1 from master-1.10)] 
Ele Edt Vew Go Capture Anayze Statstics Telephony Iook Intemas Hep 
oO@RnAdlSaxSA*oF 国 加 aaa 四 网 甘 | 加 
Fiker: [=] Epression.. Clear Apply Save 
Ne， Time 


4 0.059567000 192.168.5.2 58.251. 61.186 54 50099 > hrrps [ACK] Seq=l Ack=1 Win=l 
5 0.060182000 192.168.5.2 58.251.61.186 252 Client Hello 


7 0.060617000 192. 58.251. 61.186 54 50100 > https [ACK] Seq=l Ack=1 win=1 
8 0.064233000 192. .251. 61.186 252 Client Hello 

9 0.119703000 58.251. 60 hrrps > 50099 [AcKk] seq=1 Ack=199 win 
3 1494 Server Hello 

54 50099 > https [ACK] Seq=199 Ack=1441 

1494 [TcP segment of a reassembled PDU] 

54 50099 > https [ACK] Seq=199 Ack=2881 

8. 251. a certificate 

15 0.128144000 192.168.5. 58.251.61-186 TT 


4 
I®@ | Fe: “Zi\https.pcapng” 1248 kB 00:0... |Packets: 2300 * Displayed: 23... |Profie: Defauik 


图 18.5 ”https.pcapng 捕获 文件 
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(2) 在 该 界面 可 以 看 出 ,前 4 个 包 都 是 TCP 握手 的 数据 包 。 这 里 选择 以 第 2 个 包 为 第 
一 次 握手 的 数据 包 进 行 着 色 ， 以 便 高 亮 显示 整个 会 话 的 数据 包 。 选 择 并 右键 单 击 第 2 个 数 
据 包 ， 将 弹出 如 图 18.6 所 示 的 界面 。 

(3) 在 弹出 的 右键 菜单 中 依次 选择 Colorize Conversation|TCP|Color4 命令 ， 如 图 18.7 
所 示 。 


Mark packet (toggle) 


lgnore Packet (toggle) 
Mark packet (toggle) © Set Tme Reference (toggle) 
Jgnore Packet (toggle) © Tme shft... 
© Set Time Reference (toggle) 员 Packet Comment... 
© Time shft... 
加 packet Comment… Manualy Resove Address 
Manualy Resove Address Apply as Fiter 多 
Prepare a Fter 人 
Ra 本 上 Conversation Fiter » 
repare a Fiter G G i 站 
Conversation Flter SP ee 
SCTP » Folow TC Sueam TO » 下 coerl 
Folow UDP Stream UDP » Coor2 
Folow TCP Stream 
Folow UDP Stream Folow SSL Stream PN-CBA Server » 几 CE 
Cobr4 
Folow SSL Stream Copy 民 站 coor5 
CO Protocol Preferences » Se 
Protocol Preferences 上 3 Decode As... s se 
3 Decode As… Pmt... coor9 
岛 prnt… Show packet n New Window = Cobr10 
Show Packet n New Window New Colorng Rule… 
图 18.6 右键 菜单 图 18.7 选择 着 色 颜 色 


(4) 这 里 选择 使 用 第 4 种 颜色 ， 着 色 后 显示 结果 如 图 18.8 所 示 。 
httpspeapng IWireshark1107 i107.0-g6blalfommasteriil]  。。。 [Ei 让 时 


Ele Edt Vew Go Capture Anayze Statstcs Telephony Toos jntemas Hep 
四 四 着 本 拓 | 世 急 其 多 | 人 9 宁国 于 二 四国 QI 可 四 网 共 | 呈 
[=] Erpression.. Clesr Apply Save 


4 0.059567000 192.168.5.2 58.251.61.186 TCP 54 50099 > https [ACK] Seq=l Ack=l 
5 0.060182000 192.168.5.2 58.251.61.186 TLSv1 252 Client Hello 
6 0.060534000 58.251.61.: *168.5.2 1 = 2 > 50100 [SYN, ACK] Seq=0 4 


60 htrps > 50099 [ACK] Seq=l Ack=1¢ 
1494 Server Hello 
54 50099 > https [ACK] Seq=199 Ack» 
1494 [TCP segment of a reassembled PC 
Be EARN» teem FarwV ram an ect 


上 


9 0.119703000 
10 0.125772000 
11 0.125870000 

7000 


.| Packets: 2300 * Displayed: 2300 (100.0%) * Load tme: … | Profie: Defauk 


图 18.8 高 亮 显示 的 数据 包 


(5) 此 时 ， 只 是 将 一 个 会 话 中 的 数据 包 高 亮 显示 了 。 但 是 ， 仍 然 还 不 能 帮助 用 户 减 少 
分 析 的 数据 包 数 。 接 下 来 ， 通 过 使 用 他 地 址 的 显示 过 滤器 过 滤 数 据 包 。 过 滤 卫 地 址 为 
192.168.5.2 和 58.251.61.186 的 数据 包 ， 显 示 结 果 如 图 18.9 所 示 。 

(6) 从 该 界面 的 状态 栏 中 ， 可 以 看 到 匹配 过 滤器 的 数据 包 有 321 个 。 这 样 要 分 析 的 数 
据 包 减少 了 一 大 部 分 。 

使 用 以 上 方法 对 数据 包 进 行 过 滤 ， 在 显示 过 滤 的 结果 中 发 现 还 有 许多 其 他 无 用 的 数据 
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包 。 此 时 可 以 使 用 Follow TCP Stream 命令 ， 仅 过 滤 单 个 TCP 会 话 的 数据 包 。 具 体操 作 步 
又 如 下 所 示 。 


一 


®@ W | Fe: ZWhttpspGpng 1248 KB 00:0... | Packets; 2300 * Deplayed: 321 (14.0%) "Load tme: 0:00.120 | Profle: Defpuk 


图 18.9 过 滤 显 示 的 数据 包 


(1) 打开 https.pcapng 捕获 文件 。 
(2) 在 该 捕获 文件 中 选择 第 2 帧 并 单 击 右键 ， 将 显示 如 图 18.10 所 示 的 界面 。 
(3) 在 该 界面 选择 Follow TCP Stream 命令 ， 将 显示 如 图 18.11 所 示 的 界面 。 


Mark Packet (toggle) 
Ionore packet (toggle) 
© Set Time Reference (toggle) 


© Tme Shit... GeoTrust Inc.1.0...U....GeoTrust SSL CA - G20.. 


140 
16042323595920. . “1.0...U. .CNL.0...U....Guangdong1.0...U....Shenzhen 
U, 


| 1shenzhen Tencent compyser Systens,Sonpany Liniredl.0 
R&D1.0， mT Ga ond 


Folow Ta Stream 
Folow UDP Stream 
Folow SSL Stream 


| 0 
et; ‘mai. qq. com- .set2. mail. qq. com. .seta a qq. com -res. mail.q 


| Si ee ee Ue 


Copy » 
Protocol preferences » [Be Asc © EBcoc © HexDump OCArays @Raw 

入 Decode As.. 全 一 

Prnt... Fiter Out This Stream 
Show Packet n New Wndow 

图 18.10 可 操作 的 菜单 18.11 过 滤 TCP 流 数据 包 


(4) 在 该 界面 显示 了 整个 TCP 会 话 中 的 数据 信息 。 这 里 默认 是 以 未 处 理 的 格式 (ASCIT) 
显示 数据 包 信息 ， 此 时 单 击 Close 按钮 ， 将 会 应 用 过 滤器 ， 显 示 结 果 如 图 18.12 所 示 。 

(5) 此 时 ， 就 过 滤 出 了 整个 TCP 会 话 数据 包 。 在 显示 过 滤器 中 ， 可 以 看 到 应 用 了 
tcp.stream eq 1 显示 过 滤器 。 这 时 可 以 导出 显示 的 所 有 数据 包 ， 供 后 面 进行 分 析 。 本 例 中 ， 
将 显示 过 滤 出 的 所 有 数据 包 导 出 到 名 为 https-session.pcapng 的 捕获 文件 中 。 
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hipspcspng [wireshark 1107 wl107-0-gtb93lalfrommesterlIil 


18. 


图 18.12 显 


示 过 滤 的 整个 TCP 会 话 


4 分 析 HTTPS 数据 包 


下 面 以 导出 到 捕获 文件 https-session.pcapng 为 例 , 分 析 HTTPS 数据 包 在 分 析 HTTPS 
数据 包 时 ， 不 会 对 所 有 数据 包 都 分 析 ， 这 里 主要 分 析 HTTPS 工作 流程 中 几 个 重要 的 数据 
包 。 打 开 https-session.pcapng 捕获 文件 ， 显 示 结 果 如 图 18.13 所 示 。 


Ele Et Yew Go Copture Anyre Statetes Telephony Toos Jemag Hep 
其 包 | 久 中国 于 和 业 | 国 加 QQeDI 本 加 网 务 | 加 


”加 seaaor Clear Apply Save 


192.168.5.2 
192.168.5.2 
58.251. 61.186 
58.251. 61.186 
192.165.。 5.2 
58.251. 61.186 
192.168. 5.2 
58.251. 61.186 
192.168. 5.2 
192.168. 5.2 


58.251. 61-186 


14 0.291674000 
15 20.491245000 
16 20. 591674000 
17 20.906843000 
18 20.906973000 
58.251. 61.186 
192.168. 5.2 
58.251.61.186 
192.168.5.2 
58.251. 61.186 
192.168. 5.2 


58.251.61.186 
58.251.61.186 


58.251. 61.186 
58.251. 61.186 


ps 
252 client Hello 

50 https > 50100 [ACK] Seq-l Ack=199 win-15488 Lenr(| 
1494 server Hello 

54 50100 > https [ACK] Seq-199 Ack=1441 win-17152 Le| 
1494 [TCP segment of a reassembled POU] 

54 50100 > https [ACK] Seq-199 Ack=2881 Win=17152 Le| 
1253 Certificate 

54 50100 > https [ACK] Seq-199 Ack=4080 win=15872 Le| 
188 Client Key Exchange, Change Cipher Spec, Encrypte 
113 change cipher Spec, Fncrypred Handshake Message 

54 50100 > https [ACK] seq-333 Ack=4139 Win=15872 Le| 
1488 Application Data, Application Data 日 

60 https > 50100 [ACK] Seq-4139 Ack=1767 Win=19456 | 
1494 [TCP segment of a reassembled POU] 

54 50100 > https [ACK] Seq-1767 Ack=5579 win=17152 1 
1494 [TcP segment of a reassembled POU] 

54 50100 > https [ACK] seq-1757 Ack=7019 win=17152 1 
363 Application Data 

54 50100 > https [ACK] seq-1767 Ack=7328 win=16896 1 

91 Encrypted Alert 

54 50100 > https [ACK] seq-1767 Ack=7365 win=16896 1 


图 18.13 ”https-session.pcapng 捕获 文件 


这 里 首先 分 析 在 https-session.pcapng 捕获 文件 中 ， 每 个 包产 生 的 原因 。 然 后 再 分 析 包 
中 的 详细 信息 。 在 该 界面 显示 的 数据 包 是 由 两 部 分 构成 的 。 其 中 ， 第 一 部 分 为 1~3 帧 ， 表 
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示 TCP 建立 连接 三 次 握手 的 数据 包 。 第 二 部 分 为 4 一 14 帧 ， 这 些 包 是 SSL 握手 过 程 所 产 
生 的 数据 包 。SSL 握手 过 程 中 的 数据 包 ， 也 就 是 使 用 HTTPS 协议 加 密 的 信息 。 下 面 将 详 
细 进 行 分 析 。 

1 一 3 帧 是 TCP 三 次 建立 连接 的 数据 包 ， 在 前 面 已 经 有 详细 介绍 ， 这 里 不 青 著述 。 下 
面 详细 介绍 SSL 握手 过 程 ， 在 该 过 程 中 所 有 通信 都 是 明文 的 。 


18.4.1 客户 端 发 出 请 求 〈Client Hello) 


客户 端 〈 浏 览 器 ) 向 服务 器 发 出 加 密 通信 的 请 求 ， 被 叫做 Client Hello 请 求 。 第 4 帧 就 
是 客户 端 向 服务 器 发 送 的 Client Hello 信息 ， 详 细 信息 如 图 18.14 所 示 。 


https-session.pcapng [Wireshark 1107 (v1.107-0-96b931al from master-110)] l=le 
Ee Edt Vew Go Capture Anayze Statetcs Telephony Too5 jntemag Hep 

CR 和 GDOI 醒 国 昌 基 | 思 

~] Expression.. Cleat Appy Save 

Source Desinatie Protocol Length_Info “ 


盏 Frame 4: 252 bytes on wire (2016 bits), 252 bytes captured (2016 bits) on interface 0 

9 Ethernet I1, Src: Elitegro_3f:c3:e5 (00:19:21:3f:c3:e5), Dst: TendaTec_84:78:1e (C8:3a:35:84:78:1e) 

田 Internet Protocol Version 4, Src: 192.168.5.2 (192.168.5.2), Dst: 58.251.61.186 (58.251.61.186) 

3 Transmission Control Protrocol, Src Port: 50100 (50100), Dst Port: https (443), seq: 1, Ack: 1, Len: 198 
里 Secure Sockers Layer 


I@ | Seaure Sockets Layer (ss)), 198 bytes | packets: 30 * DspEyed: 30 (100.0%) ... | Profie: Defaukt 


图 18.14 Client Hello 


在 该 界面 的 Packet Details 面板 中 ， 可 以 看 到 SSL 协议 (Secure Sockets Layer) 的 详细 
信息 。 下 面 将 对 该 部 分 信息 进行 详细 介绍 ， 如 下 所 示 。 
Secure Sockets Layer 
TLSv1 Record Layer: Handshake Protocol: Client Hello 
#TLS 记录 信息 为 Client Hello 
Content Type: Handshake (22) # 使 用 的 TLS 记录 类 型 为 Handshake 


Version: TLS 1.2 (0x0303) #TLS 版 本 ，TLS 1.2 实际 上 就 是 SSL 3.3 
Length: 193 # 长 度 
Handshake Protocol: Client Hello # 握 手 协议 

Handshake Type: Client Hello (1) # 握 手 类 型 

Length: 189 # 长 度 

Version: TLS 1.2 (0x0303) #TLS 版 本 

Random # 随 机 数 

gmt unix time: Sep 9，2014 17:24:43.000000000 中 国标 准时 间 
#UTC 时 间 


random bytes: ledef28e438a656ad979d0c82453764ae 
2ebeb583d5d5a28 . . .# 随 机 字 节 数 


Session ID Length: 32 # 会 话 ID 

Session ID: 16c06f63ee7007c0a257fa4fe032980377c8f43e9e01le81e... 
Cipher Suites Length: 42 # 密 码 套 件 长 度 

Cipher Suites (21 suites) # 密 码 套件 ， 表 示 支 持 21 种 加 密 算法 


Cipher Suite: TLS RSA WITH AES 128 CBC SHA256 (0x003c) 
Cipher Suite: TLS RSA WITH AES 128 CBC SHA (0x002f) 
Cipher Suite: TLS RSA WITH AES 256 CBC SHA256 (0x003d) 
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Cipher Suite: TLS RSA WITH AES 256 CBC SHA (0x0035) 
Cipher Suite: TLS RSA WITH RC4 128 SHA (0x0005) 
Cipher Suite: TLS RSA WITH 3DES EDE CBC SHA (0x000a) 
Cipher Suite: TLS ECDHE RSA WITH AES 128 CBC SHA256 (0xc027) 
Cipher Suite: TLS ECDHE RSA WITH AES 128 CBC SHA (0xc013) 
Cipher Suite: TLS ECDHE RSA WITH RES 256 CBC SHA (0xc014) 
Cipher Suite: TLS ECDHE ECDSA WITH AES 128 GCM SHA256 (0xc02b) 
Cipher Suite: TLS ECDHE ECDSA WITH AES 128 CBC SHA256 (0xc023) 
Cipher Suite: TLS ECDHE ECDSA WITH AES 256 GCM SHA384 (0xc02c) 
Cipher Suite: TLS ECDHE ECDSA WITH AES 256 CBC SHA384 (0xc024) 
Cipher Suite: TLS ECDHE ECDSA WITH AES 128 CBC SHA (0xc009) 
Cipher Suite: TLS ECDHE ECDSA WITH AES 256 CBC SHA (0xc00a) 
Cipher Suite: TLS DHE DSS WITH AES 128 CBC SHA256 (0x0040) 
Cipher Suite: TLS DHE DSS WITH AES 128 CBC SHA (0x0032) 
Cipher Suite: TLS DHE DSS WITH AES 256 CBC SHA256 (0x006a) 
Cipher Suite: TLS DHE DSS WITH AES 256 CBC SHA (0x0038) 
Cipher Suite: TLS DHE DSS WITH 3DES EDE CBC SHA (0x0013) 
Cipher Suite: TLS RSA WITH RC4 128 MD5 (0x0004) 
Compression Methods Length: 1 # 压 缩 方 法 
Compression Methods (1 method) 
Compression Method: null (0) 


Extensions Length: 74 # 扩 展 长 度 

Extension: renegotiation info # 扩 展 renegotiation info 
Type: renegotiation info (0xff01) 
Length: 1 


Renegotiation Info extension 
Renegotiation info extension length: 0 


Extension: server name # 扩 展 server_name 
Type: server name (0x0000) 
Length: 16 


Server Name Indication extension 
Server Name list length: 14 
Server Name Type: host name (0) 
Server Name length: 11 
Server Name: mail.qq.com 


Extension: status request # 扩 展 status_request 
Type: status request (0x0005) 
Length: 5 
Data (5 bytes) 

Extension: elliptic curves # 扩 展 elliptic_curves 
Type: elliptic curves (0x000a) 
Length: 6 


Elliptic Curves Length: 4 
Elliptic curves (2 curves) 
Elliptic curve: secp256r1 (0x0017) 
Elliptic curve: secp384r1 (0x0018) 
Extension: ec point formats # 扩 展 ec_point formats 
Type: ec point formats (0x000b) 
Length: 2 
EC point formats Length: 1 
Elliptic curves point formats (1) 
EC point format: uncompressed (0) 


Extension: signature algorithms # 扩 展 signature algorithms 
Type: signature algorithms (0x000d) 
Length: 20 


Data (20 bytes) 


根据 以 上 对 SSL 的 详细 描述 。 可 以 看 到 客户 端 支持 的 TLS 版 本 为 1.2、 生 成 的 随机 数 


〈 稍 后 / 


二 要 


成 “对 话 密 钥 ”) 、 支 持 的 加 密 方法 有 21 种 、 支 持 的 压缩 方法 及 一 些 扩展 等 。 
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全 注意 ; 客户 端 发 送 的 信息 之 中 不 包括 服务 器 的 域名 。 也 就 是 说 ， 理 论 上 服务 器 只 能 包含 
一 个 网 站 ,否则 分 不 清 应 该 向 客户 端 提供 哪 一 个 网 站 的 数字 证 书 。 这 也 是 为 什么 
通常 一 台 服 务 器 只 能 有 一 张 数字 证 书 的 原因 。 对 于 虚拟 主机 的 用 户 来 说 ， 这 很 不 
方便 。 所 以 在 2006 年 ，TLS 协议 加 入 了 一 个 Server Name Indication 扩展 ， 允 许 
客户 端 向 服务 器 提供 它 所 请 求 的 域名 。 


18.4.2 ”服务 器 响应 (Server Hello) 


服务 器 收 到 客户 端 请 求 后 ， 向 客户 端 发 出 响应 ， 这 叫做 Server Hello 。 在 
https-session.pcapng 捕获 文件 中 ， 第 5 帧 是 服务 器 发 送 给 客户 端的 确认 信息 ， 表 示 告 诉 客 
户 端 已 收 到 请 求 。 第 6 帧 就 是 服务 器 响应 客户 端的 请 求 信息 ， 如 图 18.15 所 示 。 
https-session.pcapng [Wireshark 1.107 (v110.7-0-g6b931al from master-110)] [IE 一 一 | 
Hle Edt Vew Go Capture Anayze Statstcs Telephony Toos Intemas Hep 
自 鲍 厦 硬 基 | 蕊 外 X 包 人 ee 了 LI 熙 国 QQDI 可 四 昂 其 | 允 


| Expression.. Clear Apply Save 


Protocol Length_ Info 


| Frame 6: 1494 bytes on wire (11952 bit: bytes captured (11952 bits) on interface 0 

田 Ethernet II, Src: TendaTec_84:78:1e (c! 84:78:1e), Dst: Elitegro_3f:c3:e5 (00:19:21:3f:c3:e5) 

D Internet Protocol Version 4, Src: 58.251.61.186 (58.251.61.186), Dst: 192.168.5.2 (192.168.5.2) 

||a Transmission control Protocol, Src Port: htrps (443), Dst Port: 50100 (50100), Seq: 1, Ack: 199, Len: 14 
1 Secure Sockers Layer 


0000 00 19 21 3f c3 e5 c8 3a 35 84 78 le 08 00 45 00 
0010 05 cg bl 86 40 00 34 06 51 4a 3a fb 3d ba c0 a8 
| 05 02 ol bb 3 bs 47 df 8 ee ce 62 1 sb 50 10 


0030 00 79 ee 3d 00 00 16 03 01 00 5d 02 00 00 59 03 
0040 01 57 二 97 39 6f 55 91 ¢3 00 f7 
[Sli i Packets: 30 * Dispbyed: 30 (100.0%) ... | Profle: Defaukt 


图 18.15 Server Hello 


在 该 界面 显示 了 Server Hello 的 详细 信息 。 在 该 响应 中 主要 包括 的 信息 如 下 所 示 。 


Secure Sockets Layer 
TLSVv1 Record Layer: Handshake Protocol: Server Hello 


#TLS 的 记录 信息 为 Server Hello 


Content Type: Handshake (22) # 使 用 的 TLS 类 型 为 Handshake 
Version: TLS 1.0 (0x0301) #TLS 版 本 为 1.0， 实 际 上 是 SSL 3.1 
Length: 93 # 长 度 为 93 个 字 节 


Handshake Protocol: Server Hello # 担 手 协 议 为 Server Hello 
Handshake Type: Server Hello (2) # 握 手 类 型 为 Server Hello 


Length: 89 # 长 度 为 89 个 字 节 

Version: TLS 1.0 (0x0301) #TLS 版 本 为 1.0 

Random # 随 机 数 
gmt unix time: Sep 9，2016 11:31:09.000000000 中 国标 准时 间 
#UTC 时 间 


random bytes: 5688af97396f5591c300f7dacbf1258401990 
504f4025876. . -# 随 机 字 节 数 
Session ID Length: 32 # 会 话 ID 
Session ID: fd409d83280e54ae2234d0170c8d57d6e54a4f44531710c8... 
Cipher Suite: TLS ECDHE RSA WITH AES 256 CBC SHA (0xc014) 
# 选 择 的 加 密 套 件 。 该 加 密 套 件 表示 使 用 RSA 公 钥 算法 来 验证 证 书 以 及 交换 
密 钥 ， 用 AES 加 密 算法 对 数据 进行 加 密 ， 使 用 SHA 算法 来 校 验 消息 内 容 
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Compression Method: null (0) # 压 缩 方法 
Extensions Length: 17 # 扩 展 长 度 为 17 
Extension: server name 
Type: server name (0x0000) 
Length: 0 
Extension: renegotiation info # 扩 展 renegotiation info 
Type: renegotiation info (0xff01) 
Length: 1 
Renegotiation Info extension 
Renegotiation info extension length: 0 
Extension: ec point formats # 扩 展 ec_point formats 
Type: ec point formats (0x000b) 
Length: 4 
EC point formats Length: 3 
Elliptic curves point formats (3) 
EC point format: uncompressed (0) 
EC point format: ansiX962 compressed prime (1) 
EC point format: ansiX962 compressed char2 (2) 


以 上 就 是 服务 器 响应 给 客户 端的 详细 信息 。 根 据 以 上 信息 描述 ， 可 以 看 到 服务 器 支持 
的 TLS 版 本 为 1.0。 这 时 发 现 客户 端 与 服务 器 支持 的 版 本 不 一 致 ， 服 务 器 将 关闭 加 密 通信 。 
在 以 上 信息 中 ， 也 可 以 看 到 服务 器 生成 的 随机 数 〈 稍 后 用 于 生成 “对 话 密 钥 ”) 、 服 务 器 
确认 使 用 的 加 密 方法 及 服务 器 证 书 等 。 


18.4.3 证书 信息 


客户 端 收 到 服务 器 响应 后 ， 首 先 验证 服务 器 证 书 。 如 果 证 书 不 是 可 信 机 构 颁 发 ， 或 者 
证 书 中 的 域名 与 实际 域名 不 一 致 ， 或 者 证 书 已 经 过 期 ， 就 会 向 访问 者 显示 一 个 由 其 
选择 是 否 还 要 继续 通信 。 如 果 证 书 没有 问题 ， 客 户 端 就 会 从 证 书 中 取出 服务 器 的 公 钥 。 然 
后 ， 向 服务 器 发 送 一 些 信息 ， 包 括 用 服务 器 公 钥 加 密 的 随机 数 、 编码 改变 通知 和 客户 端 所 

结束 通知 等 。 服 务 器 发 送 给 客户 端的 证 书信 息 ， 如 图 18.16 所 示 。 
帮 https-session.pcapng [Wireshark 1.10.7 (v110.7-0-g6b931al from master-1.10)] 

Ele Edt Vew Go Capture Anayze Statstkcs Telephony Ioos Intemas Hep 
OlAIDDODSAS 中 OT QQQ 加 | 入 国 易 关 | 加 


[= | Expression.. Clear Apply Save 
Protocol Length Info 


Destination 
192. 168. 5.2 


Frame 10: 1253 bytes on wire (10024 bits), 1253 bytes captured (10024 bits) on interface 0 
a Ethernet II, Src: Tendarec 84:78:1e (C8:3a:35:84:78:1e), Dst: Elitegro 3f:c3:e5 (00:19:21:3f:c3:e5) 
TnerneriprOrocol: Vers Hon A SrC:?58;251°61;1861(58:251:615186)710ST: 192;168;5;250192168;5;2) 

Transmission Control Protocol, src Port: https (443), Dst Port: 50100 (50100), Seq: 2881, Ack: 199, L, 

[3 Reassenbled TCP 5egnent5 (3636 bytes): #6(1342), #8C1440)" #10C854)] 

1 Secure sockers Layer 


i 


Frame (1253 bytes) |Reassembled TCP (3636 bytes) 
(OY Fame (ame), 1253 bytes Packets: 30 * Dieplyed: 30 (100.0%) ... [Profie: Defaukt 


图 18.16 证 书信 息 


第 10 帧 就 是 服务 器 发 送 给 客户 端的 证 书信 息 。 该 证 书 的 详细 内 容 如 下 所 示 。 
Secure Sockets Layer 


TLSv1 Record Layer: Handshake Protocol: Certificate#TLS 记录 信息 为 证 书 
Content Type: Handshake (22) #TLS 记录 类 型 为 握手 
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Version: TLS 1.0 (0x0301) #TLS 版 本 

Length: 3631 # 长 度 为 3631 个 字 节 

Handshake Protocol: Certificate # 握 手 协议 为 证 书 
Handshake Type: Certificate (11) # 担 手 类 型 为 证 书 
Length: 3627 # 长 度 为 3627 个 字 节 
Certificates Length: 3624 非 证 书 长 度 为 3624 个 字 节 


Certificates (3624 bytes) 
Certificate Length: 1601 
Certificate 
(id-at-commonName=mail .qq.com,id-at-organizationalUnitName=R&D, id-at-or 
ganizationName=Shenzhen Tencent Computer Systems Compan,id-at-— 
localityName=Shenzhen, id-at-stateOrProvinceName=Guangdong, id-at-country 
Name=CN) # 证 书 的 详细 信息 ， 可 以 看 到 请 求 的 网 站 、 
组 织 名 、 地 区 名 、 省 名 称 和 国家 等 
signedCertificate # 签 名 证 书信 息 
version: v3 (2) # 版 本 
serialNumber : 0x12f4c2c552df9bcc95638cccf46c66f0 
# 序 列 号 
signature (shaWithRSAEncryption)  # 签 名 
Algorithm Id: 1.2.840.113549.1.1.5 (shaWithRSREn 


cryption) # 算 法 ID 
issuer: rdnSequence (0) # 发 行者 
validity # 有 效 性 
subject: rdnSequence (0) 
subjectPublicKeyInfo 


extensions: 8 items 
algorithmIdentifier (shaWithRSAEncryption)# 算 法 标识 符 
Algorithm Id: 1.2.840.113549.1.1.5 (shaWithRSAEncryp 


tion) 
Padding: 0 
encrypted: 9e85096d3329682876a772f5d92e7aa607e7a2fe70 
f0ab5d... # 校 验证 书 
Certificate Length: 1117 # 证 书 长 度 


Certificate (id-at-commonName=GeoTrust SSL CA - G2,id-at-— 
organizationName=GeoTrust Inc.,id-at-countryName=US) 
signedCertificate # 签 名 证 书信 息 
version: v3 (2) 
serialNumber: 146019 
signature (shaWithRSAEncryption) 
Algorithm Id: 1.2.840.113549.1.1.5 (shaWithRSREn 


cryption) 
issuer: rdnSequence (0) 
validity 
subject: rdnSequence (0) 
subjectPublicKeyInfo 


extensions: 8 items 
algorithmIdentifier (shaWithRSAEncryption) 
Algorithm Id: 1.2.840.113549.1.1.5 (shaWithRSAEncryp 
tion) 
Padding: 0 
encrypted: 
3ce53d5alba2372ae346cf3696183c7bf184c5578677409d... 
Certificate Length: 897 
Certificate (id-at-commonName=GeoTrust Global CA,id-at— 
organizationName=GeoTrust Inc.,id-at-countryName=US) 
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signedCertificate # 签 名 证 书信 息 
Version: v3 (2) 


serialNumber: 1227750 

signature (shaWithRSAEncryption) 
Algorithm Id: 1.2.840.113549.1.1.5 (shaWithRSAEn 
cryption) 

issuer: rdnSequence (0) 

validity 

subject: rdnSequence (0) 

subjectPublicKeyInfo 

extensions: 6 items 

algorithmIdentifier (shaWithRSAEncryption)# 加 密 算 法 
Algorithm Id: 1.2.840.113549.1.1.5 (shaWithRSAEncryp 


tion) # 算 法 ID 
Padding: 0 
encrypted: 
76e1126e4e4b1612863006b28108cff008c7c7717e66eec2... # 校 验证 书 


Secure Sockets Layer 
TLSV1 Record Layer: Handshake Protocol: Server Key Exchange#TLS 记录 


Content Type: Handshake (22) #TLS 记录 类 型 为 Handshake 
Version: TLS 1.0 (0x0301) #TLS 版 本 为 1 .0 
Length: 331 


Handshake Protocol: Server Key Exchange# 握 手 协议 为 Server Key Exchange 
Handshake Type: Server Key Exchange (12) # 握 手 类 型 
Length: 327 
EC Diffie-Hellman Server Params 
Curve type: named curve (0x03) 
named curve: secp256r1 (0x0017) 


Pubkey Length: 65 # 公 钥 长 度 

pubkey: 04d44c861lad7726b9820ef168dca39b9f1c053d409e39048... 
# 加 密 的 公 钥 

Signature Length: 256 # 签 名 长 度 

signature: 


21b7d7f0e2b03b584865b2928f0f4d4ea4de09f8d4f4bc10. . .# 加 密 的 签名 
TLSVv1 Record Layer: Handshake Protocol: Server Hello Done 


#TLS 记录 ， 表 示 Server Hello 结束 
Content Type: Handshake (22) # 使 用 的 类 型 为 Handshake 
Version: TLS 1.0 (0x0301) #TLS 版 本 为 1.0 
Length: 4 # 长 度 为 4 
Handshake Protocol: Server Hello Done # 握 手 协议 
Handshake Type: Server Hello Done (14) # 握 手 类 型 
Length: 0 # 长 度 为 0， 表示 告诉 客户 端 “He1lo” 过 程 已 经 完成 ， 
也 就 意味 着 服务 器 端 将 不 验证 客户 端的 证 书 


以 上 就 是 证 书 的 详细 信息 。 根 据 以 上 信息 的 描述 ， 可 以 看 到 在 每 个 证 书 上 都 附 有 一 份 
“签名 ”， 因 为 客户 端 〈 浏 览 器 ) 在 确定 是 否 要 信任 一 个 网 站 时 ， 就 是 通过 证 书 判断 的 。 所 
以 ， 每 个 证 书 上 必须 有 一 份 “ 签 名 ”。 


18.4.4 密 钥 交 换 


客户 端 收 到 并 验证 服务 器 响应 的 证 书后 ， 将 会 把 生成 的 密 钥 传 给 服务 器 。 本 例 中 密 钥 
交换 的 数据 包 ， 如 图 18.17 所 示 。 
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RE Wretark 107 W107 O06 1a Por Weer Pe 
Ele Edt Vew Go Capture Anayze Statstics Telephony Ioos Intemas Hep 


四 四 着 面 厦 | 马 白 X 包 | 尺 9 字 四 于 芋 | 周 加 QQ 人 DODI 可 加 昂 邯 | 马 
Ep TOT AS 


|| 5 Frane 12: 188 bytes on wire (1504 bits), 188 bytes captured (1504 bits) on interface 0 
® Ethernet II, src: Elitegro_3f:c3;e5 (00:19:21:3f:c3:e5), Dst: TendaTec_84:78:1e (C8:3a:35:84:78:1e) 
田 Internet Protocol Version 4, src; 192.168.5.2 (192.168.5.2), Dst: 58.251.61.186 (58.251. 61.186) 

a Transmission Control Prorocol, Src Port: 50100 (50100), Dst Port: https (443), seq: 199, Ack: 4080, L, 
加 Secure Sockers Layer 


图 18.17 密 钥 交 换 的 数据 包 


下 面 对 该 密 钥 交换 包 中 的 SSL 部 分 进行 详细 介绍 。 在 该 包 中 包括 3 个 TLS 记录 ， 如 
下 所 示 。 
(1) Client Key Exchange 记录 。 


Secure Sockets Layer 
TLSV1 Record Layer: Handshake Protocol: Client Key Exchange 
#TLS 记录 为 Client Key Exchange 
Content Type: Handshake (22) #TLS 类 型 为 Handshake 
Version: TLS 1.0 (0x0301) #TLS 版 本 


Length: 70 # 长 度 为 70 个 字 节 
Handshake Protocol: Client Key Exchange 


# 握 手 协议 为 Client Key Exchange 
Handshake Type: Client Key Exchange (16) 

# 握 手 类 型 为 Client Key Exchange (16) 
Length: 66 # 长 度 为 66 个 字 节 
EC Diffie-Hellman Client Params # 密 钥 交 换算 法 客户 端 参数 


Pubkey Length: 65 # 公 钥 长 度 为 65 个 字 节 
pubkey: 047723ed92964708e3718e133b5aee7950617b6a4c78584f... 


# 加 密 的 公 钥 
(2) Change Cipher Spec 记录 。 


TLSv1 Record Layer: Change Cipher Spec Protocol: Change Cipher Spec 
#TLS 记录 为 change Cipher 


Spec 

Content Type: Change Cipher Spec (20) #TLS 类 型 为 Change Cipher 
Spec 

Version: TLS 1.0 (0x0301) #TLS 版 本 

Length: 1 # 长 度 为 1 个 字 节 


Change Cipher Spec Message 


(3) Encrypted Handshake Message 记录 。 


TLSVv1 Record Layer: Handshake Protocol: Encrypted Handshake Message 


#TLS 记录 为 Encrypted 
Handshake Message 


Content Type: Handshake (22) #TLS 类 型 为 Handshake 
Version: TLS 1.0 (0x0301) #TLS 版 本 

Length: 48 #TILS 长 度 为 48 个 字 节 
Handshake Protocol: Encrypted Handshake Message 
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## 担 手 协议 为 Encrypted 


Handshake Message 


经 过 以 上 4 个 阶段 , 整个 握手 过 程 也 就 结束 了 。 接 下 来 客户 端 与 服务 器 进入 加 密 通信 ， 
就 完全 是 使 用 普通 的 HTTP 协议 ， 但 是 会 使 用 “会 话 密 钥 ”加 密 内 容 。 


18.4.5 ”应 用 层 信息 通信 


经 过 前 面 儿 个 步骤 , 就 可 以 在 应 用 层 传输 信息 了 。 现在 用 户 可 以 发 送 通过 TLS 层 使 用 
RC4 的 写实 例 加 密 过 的 普通 HTTP 消息 , 也 可 以 解密 服务 端 RC4 写实 例 发 过 来 的 消息 。 此 
外 ，TLS 层 还 会 通过 计算 消息 内 容 的 HMAC_MDS5 哈 希 值 来 校 验 每 一 条 消息 是 否 被 算 改 。 

在 应 用 层 ， 客 户 端 向 服务 器 发 送 的 信息 如 图 18.18 所 示 。 

三 i ee Ee El 


站 外 硕大 大 | 已 革 其 忆 人 ea 全 于 和 | 国 国 QI 本 加 易 务 | 加 
Fler: [=] Empression Cleer Appy so 


[No Time Source Destination Protocol Length Info 


1 5 
© Frane 15: 1488 bytes on wire (11904 bits), 1468 bytes captured (11904 bits) on interface 0 ~ 
& Etherner II, Src: Elitegro_ 3f:c3:e5 (00:19:21:3f:C3:e5), Dsr: TendaTec_84:78;1e (c8:3a:35:84: 
& Internet Protocol Version 4, Src: 192.168.5.2 (192,168,5.2), Dst: 58,251,61,186 (58,25] 
& Transmission Control Protoco], src Port: 50100 (50100), Dst Port: mtrps (443), seq: 333, Ack: 
上 secure Sockets Layer 
TLSvl Record Layer: Applicarton oaca prorocol: hecp 
content Type: applicarion para (23) 
Version; TLS 1.0 (0x0301) 
Length: 32 
Encrypted application Data; cd7a362ae?2eb93d3b999740bcasdbe32ad5cacSbscf8fc1a. .. 
日 TLSY1 Record Layer: App1icarion Data Prorocol: htrp 
Content Type: Application Data (23) 
Version: TLs 1,0 (0x0301) 
Length: 1392 是 
Encrypted Application Data: 3c87b48cd6106c4ccd410b6ae6c3f07d4cdcse377d99b6ae,，。 > 


0000 <§ a 35 54 76 Ie 00 19 于 ce508003500 
0 05 2 do 03 人 


Sa Ready to bad or capture Packats: 30- Dapbyad: 30 (100.0%) 一 


图 18.18 客户 端 向 服务 器 发 送 的 消息 


从 以 上 信息 中 ， 可 以 看 到 使 用 的 协议 为 HTTP， 并 且 发 送 的 数据 都 进行 了 加 密 。 
服务 器 响应 客户 端的 信息 ， 如 图 18.19 所 示 。 


属 htps-seasionpcapng MWireshork1107 il0706b93lelfrommesterllo leueme) 
Be Ei Yew go Sapture Anayze goreves Teephony Iook ptemak Hep 
oo@#nabaxXp aor@OF 寺 回国 QQQD 加 四 昂 务 | 加 
Fher | ] Epression- acm Apply Seve 

INo Time Source Destination Protocol Length Inio 


下 Frame 21: 363 bytes on wire 


5. 0 
Transmission concrol Proroco1，src Port: htrps (443), Ost Port: 50100 (50100), Seq: 7019, Ack: 1767 | 
四 [3 geassembled Tcp Segments (3189 bytes): #17C1440), #19C1440), #21(309)] 
Secure sockers Layer 
日 TLsvl Record Layer: application pata protocol: http 
Content Type: application Dara (23) 
Version: TLS 1.0 (0x0301) 
Length: 3184 
Encrypted Application Data: 9ad64a0e9090f7d06b4312e64d07074e674b7592e40bf59F. ,. 


od Ol Hl a7 od 
90 34 05 55 3e 33 10 3d ba 0 a8 

[和 ce 6 2 2b 5018 

Frame (363 bytes) [Reassemrbled TO (3199 bytes) 及 


(OM ery tn oad or captire [Pakets: 30 Depinyed: 30 (100.0%) Loa [Profie: Data 


图 18.19 服务 器 响应 客户 端的 信息 


以 上 是 服务 器 响应 客户 端的 消息 。 在 Packet Details 面板 中 ,可 以 看 到 使 用 HTTP 协议 
传输 的 数据 由 SSL 进行 了 加 密 。 
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FTP 全 称 是 File Transfer Protocol， 即 文件 传输 协议 。FTP 是 TCP/P 协议 组 中 的 协议 
之 一 。FTP 协议 包括 两 个 组 成 部 分 ， 其 一 为 FTP 服务 器 ; 二 为 FTP 客户 端 。 其 中 ,FTP 服 
务 器 用 来 存储 文件 ， 用 户 可 以 使 用 FTP 客户 端 通过 FTP 协议 访问 位 于 FTP 服务 器 上 的 资 
源 。 使 用 FTP 传输 效率 非常 高 ， 所 以 通常 在 网 络 上 传输 大 的 文件 时 ， 一 般 使 用 该 协议 。 本 
章 将 介绍 FTP 协议 抓 包 分 析 。 


19.1 FTP 协议 概述 


FTP 协议 在 RFC959 文档 中 定义 , 其 历史 最 早 可 以 追溯 到 1971 年 , 可 以 算得 上 是 一 种 
比较 古老 的 协议 了 。 它 的 目标 是 提高 文件 的 共享 性 ， 使 程序 可 以 隐 含 地 使 用 远程 计算 机 中 
的 数据 ， 并 在 计算 机 之 间 可 靠 、 高 效 地 传送 数据 。 而 且 使 用 FTP 传输 文件 时 ， 传 输 双方 的 
操作 系统 、 磁 盘 文 件 系 统 类 型 可 以 不 一 样 。 本 节 将 介绍 FTP 协议 概述 。 


19.1.1 什么 是 FTP 协议 


FTP 是 应 用 层 的 协议 ， 它 基于 传输 层 为 用 户 服 务 ， 负 责 进行 文件 的 传输 。FTP 是 一 个 
8 位 的 客户 端 /服务 器 协议 ， 能 操作 任何 类 型 的 文件 而 不 需要 进一步 处 理 ， 就 像 MIME 和 
Unicode 一 样 。 但 是 ，FTP 有 着 极 高 的 延 时 。 这 意味 着 从 开始 请 求 到 第 一 次 接收 需求 数据 
之 间 的 时 间 会 非常 长 ， 并 且 不 时 地 必须 执行 一 些 元 长 的 登录 进程 。 

FTP 服务 一 般 运行 在 20 和 21 两 个 端口 .端口 20 用 于 在 客户 端 和 服务 器 之 间 传 输 数据 
流 ， 而 端口 21 用 于 传输 控制 流 ， 并 且 是 命令 通 向 FTP 服务 器 的 进口 。 这 里 的 数据 流 指 的 
是 数据 的 流动 ， 控 制 流 是 控制 数据 的 流动 。 它 们 两 者 之 间 的 区 别 就 是 数据 流 中 有 数据 ， 而 
控制 流 中 没有 数据 ， 只 有 控制 命令 。 当 数据 通过 数据 流传 输 时 ， 控 制 流 处 于 空闲 状态 。 而 
当 控 制 流 空 闲 很 长 时 间 后 ， 客 户 端的 防火 墙 会 将 其 会 话 设置 为 超时 ， 这 样 大 量 数 据 通过 防 
火 墙 时 ， 会 产生 一 些 问 题 。 此 时 ， 虽 然 文件 可 以 成 功 地 传输 ， 但 因为 控制 会 话 会 被 防火 墙 
断 开 ， 传 输 会 产生 一 些 错误 。 


19.1.2 FTP 的 工作 流程 


FTP 的 工作 流程 如 图 19.1 所 示 。 在 该 图 中 的 客户 端 是 希望 从 服务 器 端 下 载 或 上 传 文件 
的 计算 机 。 服 务 器 端 是 提供 FTP 服务 的 计算 机 ， 它 监听 某 一 端口 的 TCP 连接 请 求 。 控 制 
连接 和 数据 连接 均 是 TCP 连接 , 控制 连接 用 于 传送 用 户 名 、 密 码 及 设置 传输 方式 等 控制 信 


第 19 章 FTP 协议 抓 包 分 析 


息 , 数据 连接 用 于 传送 文件 数据 。 客户 端 和 服务 器 端 分 别 运 行 着 控制 进程 和 数据 传送 进程 。 


用 户 “下 守 用 户 界面 
控制 连接 
控制 进程 “上 一 | 控制 进程 
数据 传送 | 二 一 数据 传送 站 
站 
[en 进程 数据 连接 进程 上 | 
客户 站 服务 器 并 


图 19.1 FTP 的 工作 流程 


当 用 户 需 要 从 服务 器 下 载 文件 时 ， 可 以 通过 用 户 界面 让 客户 端的 控制 进程 发 起 一 个 
TCP 连接 请 求 。 服 务 器 端的 控制 进程 接受 了 该 请 求 后 ， 建 立 了 控制 连接 。 于 是 ， 双 方 就 可 
以 相互 传递 控制 信息 了 ， 但 此 时 双方 还 不 能 传输 文件 数据 。 为 了 传输 数据 ， 双 方 的 数据 传 

当 客 户 端 向 服务 器 端 发 出 建立 TCP 控制 连接 请 求 时 ， 使 用 的 服务 器 端的 端口 号 是 21 
(默认 ) ， 同 时 要 告诉 服务 器 端 一 个 空闲 的 端口 号 ， 用 于 以 后 建立 数据 传送 连接 。 然 后 ， 服 
务 器 端 用 端口 20〈 默 认 ) 与 客户 端 所 提供 的 端口 建立 数据 传送 连接 ， 然 后 开始 数据 传送 。 


全 注意 : 由 于 客户 端 和 服务 器 端 分 别 使 用 了 两 个 不 同 的 端口 号 来 传送 控制 信息 和 数据 ， 所 
以 它们 之 间 不 会 相互 干扰 ， 而 且 可 以 同时 进行 。 


一 般 情况 下 ， 控 制 连接 是 一 直 存在 的 ， 但 数据 连接 在 一 个 文件 传输 完成 后 要 断 开 。 如 
果 还 需 传输 另 一 个 文件 ， 要 重新 建立 数据 连接 。 这 个 特性 使 得 FTP 在 传输 大 量 的 小 文件 时 
效率 比较 低 , 因为 每 一 个 文件 传输 时 都 需要 建立 和 关闭 TCP 连接 。 这 样 会 消耗 一 定 的 时 间 ， 
不 像 有 些 协议 〈 如 Samba) ， 可 以 在 一 个 连接 内 把 所 有 的 文件 一 次 性 传输 完毕 。 

FTP 的 工作 模式 和 其 他 网 络 通信 协议 有 很 大 的 区 别 。 通 常 在 采用 HTTP 等 协议 进行 通 
信 时 ， 通 信 双 方 只 用 一 个 通信 端口 进行 通信 ， 即 只 有 一 个 连接 。 而 FTP 使 用 两 个 独立 的 连 
接 ， 其 主要 优点 是 使 网 络 数据 传输 分 工 更 加 明确 ， 同 时 在 文件 传输 时 还 可 以 利用 控制 连接 
传送 控制 信息 。 


19.1.3 ”FTP 常用 控制 命令 


当 客户 端 与 服务 器 端 建立 控制 连接 后 ， 客 户 端的 控制 进程 就 可 以 通过 该 连接 向 服务 器 
端 发 送 控制 命令 了 。 服 务 器 端 随时 处 于 监听 状态 ， 服 务 器 端的 控制 进程 接 到 命令 后 ， 将 根 
据 命 令 内 容 做 相应 的 工作 ， 并 把 结果 返回 给 客户 端 。 

控制 命令 以 ASCII 字符 串 的 形式 被 传输 ,每 个 命令 以 3 个 或 4 个 大 写 的 ASCI 字符 开 
始 , 后 面 可 以 带 有 参数 ,命令 和 参数 之 间 用 空格 符 分隔 , 并 以 一 对 回 车 符 和 换行 符 (CR/LF) 
作为 命令 的 结束 标志 。FTP 协议 常见 的 控制 命令 如 表 19-1 所 示 。 


“Ms 
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名 称 | 参数 说 明 


表 19-1 FTP 常 用 控制 命令 
功能 说 明 


ABOR | 无 


文件 名 


告诉 服务 器 终止 上 一 次 FTP 服务 命令 及 所 有 相关 的 数据 传输 
要 求 服务 器 保留 n 个 字 节 的 存储 空间 用 于 存放 将 要 传输 的 文件 
让 服务 器 准备 接收 一 个 文件 。 如 果 同 样 的 文件 在 服务 中 已 存在 ， 则 追加 到 其 后 


无 


把 服务 器 上 当前 目录 的 父 目 录 改 为 当前 目录 


把 服务 器 上 指定 的 路 径 变 为 当前 目录 


删除 服务 器 上 指定 的 文件 


返回 指定 命令 的 帮助 信息 。 如 果 没 有 指定 命令 ， 则 返回 所 有 命令 的 帮助 信息 
让 服务 器 返回 一 份 指定 路 径 下 的 文件 和 目录 列表 。 如 果 没 有 指定 路 径 ， 则 为 
当前 目录 

MKD 在 服务 器 上 建立 指定 的 目录 

MODE 指定 传输 方式 。S 表示 流 方式 ，B 表示 块 方式 ，C 表示 压缩 方式 

NLIST | 路 径 名 让 服务 器 返回 一 份 指定 路 径 下 的 目录 列表 。 如 果 没有 指定 路 径 ， 则 为 当前 目录 

NOOP 空 操作 ， 目 的 是 为 了 使 控制 连接 不 会 断 开 

PASS 向 服务 器 发 送 要 登录 用 户 的 密码 


PASV 


PORT | 6 个 数字 


告诉 服务 器 在 一 个 非 标准 端口 上 监听 客户 端的 数据 连接 
为 数据 连接 指定 一 个 客户 端的 卫 地 址 和 端口 ,nl 一 n4 表示 四 地址 ，n5、n6 
表示 端口 号 


PWD 返回 当前 工作 目录 的 名 称 
QUIT 终止 控制 连接 
REST | 偏 移 值 n 指定 文件 起 始 位 置 的 一 个 偏 移 值 ， 以 后 将 从 这 个 偏 移 位 置 开 始 传送 文件 
RETR 从 服务 器 复制 一 个 指定 的 文件 到 客户 端 
RMD 在 服务 器 上 删除 指定 目录 
RNFR 指定 将 要 重 命名 的 文件 ， 后 面 应 该 紧 跟 RNTO 命令 
RNTO 把 RNFR 指定 的 文件 改 为 该 文件 名 
STAT 促使 服务 器 以 应 答 形式 发 送 状态 给 客户 

让 服务 器 接收 来 自 数据 连接 的 文件 。 如 果 服 务 器 上 有 同样 名 字 的 文件 ， 则 了 予 
STOR | 文件 名 以 获 羔 
STOU 让 服务 器 接收 来 自 数据 连接 的 文件 。 如 果 服 务 器 上 有 同样 名 字 的 文件 ， 则 出 错 
SYST | 无 返回 服务 器 使 用 的 操作 系统 类 型 
TYPE | A、 E 或 I ees A 表示 ASCII 方式 ，E 表示 EBCDIC 方式 , I 表示 二 进 
USER | 用 户 名 指定 登录 服务 器 系统 的 用 户 名 


19.1.4 ”应 答 格式 


当 服 务 器 端 接收 到 客户 端的 命令 后 ， 将 根据 命令 的 功能 做 相应 的 处 理 。 处 理 以 后 的 情 
况 ， 如 命令 执行 是 否 成 功 、 出 错 类 型 、 服 务 器 端 是 否 已 处 于 就 绪 状 态 等 信息 ， 将 通过 控制 
连接 发 送 给 客户 端 ， 这 些 内 容 就 是 应 答 。 对 FTP 控制 命令 进行 应 答 的 目的 是 为 了 对 数据 传 
输 过 程 进行 同步 ， 也 是 为 了 让 客户 端 了 解 服务 器 目前 的 状态 。 

FTP 应 答 由 3 个 ASCII 码 数字 构成 ， 后 面 再 跟随 一 些 解释 性 的 文本 符号 。 数 字 是 供 机 
器 处 理 的 ， 而 文本 符号 则 是 面向 用 户 的 。3 位 数字 每 位 都 有 一 定 的 意义 ， 第 1 位 确定 响应 
是 好 的 、 坏 的 还 是 不 完全 的 。 通 过 检查 第 1 位 ， 用 户 进程 通常 能 够 知道 大 致 要 采取 什么 行 
动 了 。 如 果 用 户 程序 希望 了 解 出 了 什么 问题 ， 可 以 继续 检查 第 2 位 。 第 3 位 表示 其 他 一 些 
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信息 。 下 面 分 别 介绍 这 3 位 可 用 的 值 ， 如 下 所 示 。 
第 1 位 有 5 个 值 ， 其 含义 如 下 所 示 。 
1xx 确定 预备 应 答 : 表示 仅仅 是 在 发 送 另 一 个 命令 前 期 待 另 一 个 应 答 时 启动 。 
2xx 确定 完成 应 答 : 表示 要 求 的 操作 已 经 完成 ， 可 以 接受 新 命令 。 
3xx 确定 中 间 应 答 : 该 命令 已 经 被 接受 ， 另 一 个 命令 必须 被 发 送 。 
4xx 暂时 拒绝 完成 应 答 : 请 求 的 命令 没有 执行 ， 但 差错 状态 是 暂时 的 ， 命 令 以 后 可 
以 再 发 。 
5xx 永久 拒绝 完成 应 答 : 该 命令 不 被 接受 ， 并 且 要 求 不 要 再 重 试 。 
第 2 位 所 代表 的 含义 如 下 所 示 。 
x0x: 语法 错误 。 
- 般 性 的 解释 信息 。 
x2x: 与 控制 和 数据 连接 有 关 。 
x3x: 与 认证 和 账户 登录 过 程 有 关 。 
x4x: 未 指明 。 
x5x: 与 文件 系统 有 关 。 
第 3 个 数字 是 在 第 2 个 数字 的 基础 上 对 应 答 内 容 的 进一步 细 化 ， 没 有 具体 的 规定 。 常 
见 的 响应 码 如 表 19-2 所 示 。 


加 加 瑟 忆 


DOCOOOO 和 小 口 
全 
加 


表 19-2 FTP 响应 码 


响应 代码 解释 说 明 
110 新 文件 指示 器 上 的 重启 标记 
120 服务 器 ; 绪 的 时 间 
125 打开 数据 连接 ， 开 始 传输 
150 打开 连接 
200 成 功 
202 命令 没有 执行 
211 系统 状态 回复 
212 目录 状态 回复 
213 文件 状态 回复 
214 帮助 信息 回复 
215 系统 类 型 回复 
220 服务 就 绪 
221 退出 网 络 
225 打开 数据 连接 
226 结束 数据 连接 
227 进入 被 动 模式 (人 P 地 址 、 了 D 端口 ) 
230 登录 因特网 
250 文件 行为 完成 
257 路 径 名 建立 
331 要 求 密码 
332 要 求 账户 
350 文件 行为 暂停 
421 服务 关闭 
425 无 法 打开 数据 连接 
426 结束 连接 
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响应 代码 解释 说 明 
450 文件 不 可 用 
451 遇 到 本 地 错误 
452 磁盘 空间 不 足 
500 无 效 命令 
501 错误 参数 
502 命令 没有 执行 
503 错误 指令 序列 
504 无 效 命令 参数 
530 未 登录 网 络 
532 存储 文件 需要 账号 
550 文件 不 可 用 
551 不 知道 的 页 类 型 
552 超过 存储 分 配 
553 文件 名 不 允许 


通过 前 面 对 FTP 协议 进行 的 详细 介绍 , 用 户 可 以 了 解 FTP 的 工作 流 


19.2 ”捕获 FTP 协议 数据 包 


得、 使 用 的 控制 命 


令 及 应 答 格式 等 。 本 节 将 通过 使 用 Wireshark 工具 ， 捕 获 FTP 数据 包 。 通 过 分 析 捕 获 文件 
中 的 包 信息 ， 更 清楚 地 了 解 FTP 的 工作 流程 和 应 答 格式 等 。 

FTP 协议 也 是 基于 TCP 协议 工作 的 , 所 以 下 面 通过 使 用 tcp 捕获 过 滤器 捕获 FTP 协议 
数据 包 。 具 体操 作 步 又 如 下 所 示 。 
(1) 启动 Wireshark 工具 。 

(2) 在 启动 的 主 界面 菜单 栏 中 依次 选择 Capture|Options 命令 ， 或 者 单 击 工具 栏 中 的 加 
(显示 捕获 选项 ) 图 标 打 开 Wireshark 捕获 选项 窗口 ， 如 图 19.2 所 示 。 


A Wiresharke Copture Options 


© | 


Goare Fles 
| 


Fie: [CNWiresharkhppcapng 


Use mukipke fles 


Stop Caoture Autormaticaly Aftar,.. 


Help 


Link- larer heeder Prom. Mode Sreplen [8] Bufier [MiB] Cepture Fher 


Edenet enabed delst 2 tp 


了 Hide copture irte dielog 
Mame Rasouron 


Resclve MAC addresses 
Resolve Detwork-layer rames 


Resclve transport-ayer name 


et 
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(3) 在 该 界面 选择 捕获 接口 、 设 置 捕获 过 滤器 及 捕获 文件 的 保存 位 置 , 如 图 19.2 所 示 。 
配置 完 以 上 信息 后 ， 单 击 Start 按钮 将 显示 如 图 19.3 所 示 的 界面 。 


大 capturing fom 本 地 连 按 (tcp) [Wireshark 1107 (v1107-0-g6b931al fom master-110) ”ElGEE 
Ee Edt Yew Go Capture Anayze Statstes Telephony Took Intemas Hebp 
S80H|OXS a9@T 国 @l AQAa 昌 lt 

Fiker | [= | Expression.. Clear Apply Save 

INo. Time Source -Desindion Protocol Lengl 


后 林地 连接 ; <ve capture mn progress..。 | No Packets Profie; Defaut 


图 19.3 ”开始 捕获 TCP 数据 包 


(4) 看 到 以 上 界面 , 表示 已 开始 捕获 数据 包 。 由 于 目前 没有 运行 任何 TCP 协议 的 程序 ， 
所 以 在 Packet Lists 面板 中 没有 任何 数据 包 。 此 时 ， 通 过 访问 已 经 搭建 好 的 FTP 服务 器 ， 
然后 做 一 些 文件 传输 操作 供 Wireshark 捕获 相关 的 数据 包 。 

用 户 可 以 在 Linux 下 或 Windows 下 手动 地 搭建 一 个 FTP 服务 器 ， 然 后 进行 简单 配置 。 
配置 完 后 ， 用 户 就 可 以 登录 FTP 服务 器 了 ， 并 且 实现 上 传 和 下 载 文件 。 下 面 以 RHEL 6.4 
下 搭建 的 FTP 服务 器 为 例 ，Windows 7 作为 FTP 客户 端 进行 一 些 操作 。 

在 Windows 7 操作 系统 中 提供 了 ftp 命令 ,可 以 用 来 登录 FTP 服务 器 。 本 例 中 FTP 服 
务 器 的 地 址 为 192.168.6.109。 具 体操 作 如 下 所 示 。 

C:\Users\lyw>ftp 192.168.6.109 # 登 录 FTP 服务 器 


连接 到 192.168.6.109。 
220 (vsFTPd 2.2.2) 


用 户 (192.168.6.109: (none)): ftp # 输 入 用 户 名 

331 Please specify the password. 

密码 : # 输 入 密码 

230 Login successful. 

ftp> 1s # 查 看 当前 目录 中 的 所 有 文件 


200 PORT command successful. Consider using PASV. 
150 Here comes the directory listing. 

pub 

226 Directory send OK. 

ftp: 收 到 5 字 节 ， 用 时 0.00 秒 5000.00 千 字 节 / 秒 。 


ftp> cd pub # 切 换 到 pub 目录 
250 Directory successfully changed. 
ftp> 1s # 查 看 该 目录 中 的 内 容 


200 PORT command successful. Consider using PASV. 
150 Here comes the directory listing. 

1 Ext 

a.txt 

cat.jpg 

dog.jpg 

pig.jpg 

selinux.pdf 

226 Directory send OK. 

ftp: 收 到 55 字 节 ， 用 时 0.00 秒 55000.00 千 字 节 / 秒 。 
ftp> get cat.jpg # 下 载 cat .jpg 文件 
200 PORT command successful. Consider using PASV. 
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150 Opening BINARY mode data connection for cat.jpg 


226 Transfer complete. 

ftp: 收 到 9733 字 节 ， 用 时 0.00 秒 9733000.00 千 字 节 / 秒 。 
Ftp> pat CAT jpg 

200 PORT command successful. Consider using PASV. 
150 Ok to send data. 

226 Transfer complete. 

ftp: 发 送 .61481 字 节 ， 用 时 3-11 秒 19-77 千 字 节 / 秒 。 
ftp>quit 

221 Goodbye. 


以 上 信息 就 是 登录 FTP 服务 器 后 ， 进 行 了 一 个 上 传 和 下 载 文 件 操作 。 此 
Wireshark 界面 停止 捕获 数据 包 ， 将 显示 如 图 19.4 所 示 的 界面 。 


ftppcapng IWireshark 1107 wlL107-0-g6b93lal fom masterll0 ESG 
Ele Edt Vew Go Capture Anayze Statstics Telephony IToos Intemas Hep 
OO#Nd|EEOXS AH*OTF| 国 国 QaaQDl 田 加 关 | 加 
Fiher | Expression.. Clear Appy Save 
Protocol Length Info < 
| Tcr 1 旺 | 
| 
| 30. 192.168.6.109 TCP 54 50030 > ftp [ACK] Scq-l Ack=1 Y 
40. 09 192.168.5.2 FTP 74 Response: 220 (vsFTPd 2.2.2) 
5 0。 192.168.6.109 TCP 54 50030 > ftp [ACK] seq-1 Ack=21 
6 2.139934000 192.168.5.2 192.168.6.109 FTP 64 Request: USER frp 
7 2.141185000 192.168.6.109 192.168.5.2 TP 60 ftp > 50030 [ACK] Seq=21 Ack=1] 
8 2.141472000 192.168.6.109 192.168.5.2 FTP 88 Response: 331 Please specify th 
9 2- 344339000 192.168.5.2 192.168.6.109 TCcp 54 50030 > frp [ACK] Seq<11 Ack=55 
10 4.196323000 192.168.5.2 192.168.6.109 FTP 66 Request: PASS admin 
11 4.199245000 192.168.6.109 192.168.5.2 FTP 77 Response: 230 Login successfu1. 
12 4.407097000 192.168.5.2 192.168.6.109 Tp 54 50030 > frp [ACK] Seq=23 Ack=7E 
13 5.676414000 192.168.5.2 192.168.6.109 FTP 80 Request: PORT 192,168,5,2,195,] 
| 14 5.678114000 192.168.6.109 192.168.5.2 FTP 105 Response: 200 PORT command succ ~ 
at um | ， 
I@© 回 | Fie: "2:\ftp.pcapng"” 89 kB 0... | Packets: 158 * Displayed: 158 (100.0%) * Load time: 0:... | Profile: Defauk 


19.4 捕获 到 的 所 有 数据 包 


(9733 bytes) . 


时 ， 


返回 


到 


在 该 捕获 文件 中 ， 捕 获 到 了 当前 系统 中 所 有 运行 的 TCP 协议 程序 。 在 Wireshark 的 
Packet List 面板 中 ， 可 以 看 到 Protocol 列 显示 的 协议 有 TCP 和 FTP。 用 户 可 能 发 现 有 很 多 
TCP 协议 的 包 ， 这 样 对 分 析 FTP 数据 包 造 成 很 大 的 影响 。 刚 好 Wireshark 提供 了 FTP 显示 
过 滤器 ， 可 以 过 滤 仅 显示 FTP 数据 包 。 

在 Wireshark 显示 过 滤器 区 域 输入 ftp, 然后 单 击 Apply 按钮 , 将 显示 如 图 19.5 所 示 的 


界面 。 


.374 


加 本 [FREETZWp papng 89 KB 0... | Packets: 158" Dieplaved: 29 (16.4%) ~ Load bme 0:00... | Profle: Defuk 
EE 


ftp.pcapng [Wireshark 1107 (v1.10.7-0-g6b931alfrom master-110] 
Ele Edt View Go Capture Anayze Statstics Teleohony Took Intemas Hep 
癸 @ 乔 大 惠 | 它 全 多 A 个 蚊 卫 和 | 国 国 QQQD 四 昌 关 | 加 


me 


No， 站 


8 2.141472000 
10 4.196323000 192.168.5. 
11 4.199245000 192.168.6.109 


331 Please specify tt 
ASS admin | 
230 Login successful. 


77 Response 
80 Request: PORT 192,168,5,2,195,] 


FTP 
FTP 
FTP 
TP 
13 5.676414000 192.168.5.2 192.168.6.109 FTP 
14 5.678114000 192.168.6.109 192.168.5.2 FTP 105 Response: 200 PORT command suct 
15 5.702720000 192.168.5.2 192.168.6.109 FTP 60 Request: NLST 
19 5.705916000 192.168.6.1( 192.168.5.2 FTP 93 Response: 150 Here comes the d’ 
23 5.707733000 192.168.6. FTP 78 Response: 226 Directory send Ot 
FTP ‘53 Request: CWD pub 
FTP 91 Response: 250 Directory success 
FTP 


1 192.168.5.2 
27 7. 664660000 192.168.5.2 192.168, 
28 7.665907000 192.168.6.109 ”192.168 

30 9.780170000 192.168.5.2 192.168.6.109 80 Request: PORT 192,168,5,2,195,] 
31 9.781584000 192.168.6.109 192.168.5.2 105 Response: 200 PORT command suct ~ 


a wm | 6 


图 19.5 所 有 FIP 数据 包 
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此 时 ， 可 以 看 到 显示 的 所 有 数据 包 的 Protocol 列 都 是 FTP。 在 Wireshark 的 状态 栏 中 ， 
可 以 看 到 匹配 ftp 显示 过 滤器 的 数据 包 共 有 29 个 。 为 了 对 数据 包 进 行 分 析 ， 这 里 将 所 有 的 
FTP 数据 包 导 出 到 ftp-transport.pcapng 捕获 文件 中 。 


19.3 分析 FTP 协议 数据 包 


在 FTP 工作 流程 中 使 用 控制 连接 和 数据 连接 两 种 方式 来 实现 数据 传输 。 本 节 将 分 析 这 
两 种 包 的 详细 信息 。 


19.3.1 分 析 控制 连接 的 数据 
FTP 的 控制 连接 用 于 传送 用 户 名 、 密 码 及 设置 传输 方式 等 控制 信息 ， 下 面 以 


ftp-transportpcapng 捕获 文件 为 例 ， 分 析 FTP 协议 控制 连接 的 数据 包 。 打 开 
ftp-transportpcapng 捕获 文件 ， 显 示 信 息 如 图 19.6 所 示 。 


Ml ftp-transportpcapng [Wireshark 1.10.7 (v1.10.7-0-g6b931a1 from master-1.10)] | (ot 
Ele Edt Vew Go Capture Anayze Statstics Telephony Iook Intemas Hep 
回回 看 硬 过 | 巴 外 X 包 | 信和 中 国 守业 QQQDI 硬 国 罗 光 | 加 
Filter: [= | Expression.. Clear Apply Save 

tinati Protocol Length I 


192 
192,168. 


Response: 220 
FTP 64 Request: USER ft 


p 
192.168. 6.109 。 192.168. 5.2 FTP 88 Response: 331 Please specify the p| 
192.168.5.2 192.168.6.109 FTP 66 Request: PASS admin 
192.168.6.109 192.168.5.2 FTP 77 Response: 230 Login successfu]1. 
192,168.5.2 192.168.6.109 FTP 80 Request: PORT 192,168,5,2,195,111 
192.168.6.109 192.168.5.2 FTP 105 Response: 200 PORT command Success| 
192.168.5.2 192.168.6.109 FTP 60 Request: NLST 
192.168. 6.109 192.168.5.2 FTP 93 Response: 150 Here comes the direc 
192.168. 6.109 FTP 78 Response: 226 pirectory send OK. 
192.168.5.2 FTP 63 Requesr: CWD pub 
192.168. 6.109 FTP 91 Response: 250 Directory successfu1 
192,168.5.2 FTP 80 Request: PORT 192,168,5,2,195,112 

14 9.776382000 192.168.6.109 FTP 105 Response: 200 PORT command Success|s 

15 9.795473000 192.168.5.2 FTP 60 Request: NLST 

16 9.798555000 192.168.6.109 FTP 93 Response: 150 Here comes the direc 

17 9.800284000 192.168.6.109 FTP 78 Response: 226 Directory send Ok. 

18 16. 520703000 192.168.5.2 FTP 80 Request: PORT 192,168,5,2,195,113 

19 16. 522196000 192.168.6.109 FTP 105 Response: 200 PORT command success 

20 16. 552346000 192.168.5.2 192.168.6.109 FTP 68 Request: RETR cat.jpg 


23 27. 331692000 192,.168. 5.2 192.168.6.109 
24 27. 333692000 192.168.6.109 192.168.5.2 105 Response: 200 PORT command success 
25 27. 365913000 192.168.5.2 192.168.6.109 67 Request: STOR 11.jpg 


FTP 80 Request: PORT 192,168,5,2,195,114 
FTP 
FTP 

26 27.369083000 192.168. 6.109 192.168.5.2 FTP 76 Response: 150 Ok to send data. 
FTP 
FTP 
FTP 


27 30.456813000 192,168.6.109 78 Response: 226 Transfer complete. 

28 33. 563131000 192.168 60 Request: QUIT 2 

29 33. 564429000 192.168. 68 Response: 221 Goodbye. = 
‘| 


I® | Fle: "C\Users\Administator\... | Packets: 29 * Displayed: 29 (100.0%) * Load tme: 0:... | Profle: Defauk 


图 19.6 ”fp-transport.pcapng 捕获 文件 


在 图 19.6 中 显示 的 所 有 数据 包 ， 就 是 本 例 中 捕获 到 的 所 有 FTP 数据 包 。 在 Wireshark 
的 Packet List 面板 的 Info 列 ， 可 以 看 到 FTP 传输 的 所 有 信息 。 因 为 FTP 是 以 明文 的 形式 
传输 数据 包 的 ， 所 以 在 捕获 到 的 数据 包 中 可 以 看 到 登录 FTP 服务 器 的 用 户 名 、 密 码 和 传输 
的 文件 等 。 在 图 19.6 中 ， 可 以 看 到 本 例 中 登录 FTP 服务 器 的 用 户 名 为 好、 密码 为 admin、 
下 载 的 文件 catjpg 及 上 传 的 文件 11.jpg 等 。 如 果 文 件 传输 过 程 中 出 错 的 话 ， 将 返回 相应 的 
应 答 码 。 
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在 捕获 的 FTP 数据 包 中 ，USER、PASS、CWD、RETR 和 STOR 等 都 是 控制 连接 使 用 
的 控制 命令 。 这 些 控制 命令 在 包 详细 信息 中 ， 显 示 的 格式 都 相同 。 这 里 以 控制 用 户 信息 的 
命令 为 例 ， 分 析 包 的 详细 信息 。 在 ftp-transport.pcapng 捕获 文件 中 ， 捕 获 的 用 户 信息 如 图 
19.7 所 示 。 


ftp-transportpcapng [Wireshark 1107 (W1107-0-g6b93lalfrommasterl10] [a © mg 
fle Edt Vew Go Capture Anayze Statistics Telephony Toos Jntemaks Hep 
回回 着 面 大 | 巴巴 基色 | 扩 提 中国 等 业 | 国 加 QQ 本 国 昂 基 | 加 


Fier | Expression.. cear Appy Save 


Please specify the pa 


Ee 168.6.109 19; 5.2 88 
4 4. 191121000 192.168.5.2 192.168.6.109 FTP 66 Request: PASS admin 
5 4.194043000 192.168.6.109 192.168.5.2 FTP 77 Response: 230 Login successful. 
6 5.671212000 192.168.5.2 192.168.6.109 FTP 80 Request: PORT 192,168,5,2,195,111 “~ 


1 Frame 2: 64 bytes on wire (512 bits), 64 bytes captured (S12 bits) on interface 0 

加 Ethernet II, Src: Elitegro_3f:c3:e5 (00:19:21:3f:c3:e5), Dst: TendaTec_84:78:1e (c8:3a:35:84:78:; 
® Internet Prorocol Version 4, Src: 192.168.5.2 (192.168.5.2), Dst: 192.168. 6.109 (192.168.6.109) 
Transmission Control Protocol, Src Port: 50030 (50030), Dst Port: frp (21), seq: 1, Ack: 21, Len | 
田 File Transfer prorocol (FTP) 图 


mn 
0000 cg 3a 35 84 78 le 00 19 21 3f c3 e5 08 00 45 00 


0010 60 2325d54000 40 06 87 2 co a8 05 02 co a8 
0020 06 6d c3 6e 00 15 76 61 e8 c6 b3 a8 50 18 


I© | Fe: "C\Users\Admnistrato\... | Packets: 29 * Displayed: 29 (100.0%) * Load time: 0:0... | Profie: Defauk 


图 19.7 FTP 用 户 信息 


从 该 界面 可 以 看 到 登录 FTP 服务 器 时 ， 使 用 的 控制 命令 是 USER 和 PASS。 根 据 这 两 
个 命令 ， 可 以 看 到 登录 的 用 户 名 为 ftp， 密 码 为 admin。 这 两 个 包 的 详细 信息 如 下 所 示 。 


1. 用 户 名 包 详 细 信 息 


File Transfer Protocol (FTP) 
USER ftp\r\n 
Request command: USER 
Request arg: ftp 


从 以 上 信息 中 可 以 看 出 该 包 使 用 了 FTP 协议 ， 输 入 的 用 户 名 为 ft 地， 请 求 的 命令 是 
USER， 请 求 参数 为 ftp。 


2. 密码 详细 信息 


File Transfer Protocol (FTP) 
PASS admin\r\n 
Request command: PASS 
Request arg: admin 


从 以 上 信息 中 可 以 看 出 该 包 中 输入 的 密码 为 admin, 请 求 的 命令 是 PASS, 请 求 的 参数 
为 admin。 


19.3.2 ”分析 数据 连接 的 数据 


数据 连接 用 于 传送 文件 数据 ， 也 就 是 通过 FTP 服务 器 进行 上 传 和 下 载 的 文件 。 下 面 以 
ftp.pcapng 捕获 文件 为 例 ， 分 析 数 据 连 接 的 数据 。 
(1) 打开 ftp.pcapng 捕获 文件 ， 显 示 界 面 如 图 19.8 所 示 。 
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rppepre wirechak1107 Ma07096bgalalyommaserlial Eee 人 


Ee Ek Ven 60 Coure Aahae Soctes Teeony Toob bremas ten 
ETTTICCEIEESLIZIE QQ 本 回电 苏 | 加 一 


54 50030 > ftp [acr] Seq=1 Ack=l ) 
74 Response: 220 (vsFTPd 2.2.2) 
54 50030 > ftp [ACK] Seq-l Ack=21 
4 Request: USER frp 


0 frp > 50030 [ACK] Seq-21 Ack=1} 
88 Response: 331 Please specify | 


5 2-141472000 
9 2-344339000 
10 4.196323000 
11 4-199245000 
了 2 4407097000 
1 5-076tls000 


77 Response: 230 Login successFul, 
54 50030 > frp [ACK] Seq-23 Ack7t 
0 Request: PORT 192,158,5,2,195,1 
FTP 105 Response: 200 FORT command suct 


~ [profes Defame 


图 19.8 ftp.pcapng 捕获 文件 


(2) 在 该 捕获 文件 中 ， 协 议 为 TCP 的 数据 包 就 是 传输 及 建立 连接 的 数据 包 。 这 里 首先 
过 过 滤 FTP 数据 包 ， 找 出 传输 的 文件 。 过 滤 FTP 数据 包 ， 显 示 界 面 如 图 19.9 所 示 。 


tppeapng [Wireshark 1107 vL107-0.95b931a1 from rmactr.1310] 


192,168. 
192.168.6.109 
92 168. 5-2 
192.168.6,109 
192.168.5.2 


87 27. 336894000 192.- 

68 27. 338894000 192. 

59 27. 371115000 192.- 

73 27- 374285000 192 
146; 


50 Rnequesr: QUIT 
5 Response: 221 Goodbye. 


ood ra: profie: ofa 


图 19.9 过 滤 显 示 的 FTP 数据 包 


(3) 以 上 显示 了 过 滤 出 的 所 有 FTP 数据 包 。 其 中 ， 使 用 控制 命令 RETR 和 PORT 的 数 
据 包 分 别 为 上 传 和 下 载 的 数据 包 。 这 里 以 下 载 的 文件 为 例 ， 过 滤 传 输 该 文件 的 数据 包 及 组 
合 传输 的 文件 信息 。 在 图 19.9 中 选择 46 帧 并 单 击 右键 将 显示 如 图 19.10 所 示 的 菜单 。 

(4) 在 该 菜单 中 单 击 Follow TCP Stream 选项 ， 将 显示 如 图 19.11 所 示 的 界面 。 


Soaam Conren 
ECSFTPG 213) 


Mark Packet (toggle) B31 Please specify the password, 
ome oy SD sucess 
© Set Time Reference (toggle) 182 ,168,5,2,195,111 
ee Ee PORT "comand "Successful. Consioer using PASY, 
2 0", he gr Misth 
Packet Comment... B28 frecEory send Oe Ter STIre, 
i 2 Bfeecrory,sycessstuly chanoed. 

0 oniaha 5uetessru1。consiaer usfng PASY. 
dee I Were, eones ch irectory istine. 
ee : 区 
Conversation Fiter » Ta sacted3rul. constder using pasv. 
Coloree Conversation Sd openig’ orm moe dara comnecion for cat.jpg C9733 pyres). 
Seip » 


Re Tanster Sorplst 
PoRT 182°1 
200 pORT" comsane 3. 


Srom 
了 oa cara. 
238 Fransrer omplete. 


Folow TCP Steam accelsful. consider using phsv- 


Folow UDP Stream 
Folow SSL Stream 


Er 
BE coodbye. 
Copy rire converesicn TS res 加 
protocol Ppreferences ， 和 二 
es Ein) © wa © ocr Chow ©O cae row 
Prnt.. 


er ou This Sream Ee 


图 19.10 ”右键 菜单 图 19.11 Follow TCP Stream 
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(5) 在 该 界面 显示 了 所 有 FTP 传输 的 信息 。 如 果 要 查看 传输 的 数据 ， 就 需要 将 这 些 信 
息 去 掉 。 此 时 ， 在 该 界面 单 击 Filter Out This Stream 按钮 ，Follow TCP Stream 对 话 框 将 关 
闭 ，Wireshark 显示 如 图 19.12 所 示 的 界面 。 


|| 35 9.803391000 192.168.6.109 66 ftp-data > 50032 [ACK] seq=l Acl | 
37 9.803980000 192.168.6.109 192.168.5. -1 134 FTF Data: 68 bytes 


[© W [Pe "Cluser Varmermton. [podets 158" Doped: 111 03%) “loud [Pie De 
图 19.12 数据 连接 的 包 


(6) 该 界面 显示 了 所 有 非 FTP 控制 连接 的 数据 。 在 该 界面 选择 任何 一 个 包 ， 并 单 击 右 
键 选择 Follow TCP Stream 选项 ， 将 显示 如 图 19.13 所 示 的 界面 。 


| 
Seam Conten 


Entire conversation (9733 bytes) 


[ET 


Help 


图 19.13 ”传输 的 文件 


外 注意 : 在 捕获 的 文件 中 如 果 只 传输 了 一 个 文件 的 话 ， 选 择 任何 一 个 包 就 可 以 看 到 图 
19.13 类 似 的 信息 。 如 果 进 行 了 查看 文件 、 上 传 和 下 载 等 许多 操作 ， 在 选择 数据 
包 时 就 需要 确定 该 包 大 概 所 在 的 位 置 。 否 则 ， 显 示 的 信息 可 能 不 是 自己 想 要 的 。 


(7) 在 该 界面 显示 了 传输 的 包 的 详细 信息 。 在 该 界面 显示 的 数据 信息 ， 是 未 处 理 的 二 
进 制 格 式 ， 所 以 ， 看 起 来 像 乱码 似 的 。 在 过 滤 出 的 FTP 数据 包 中 ， 可 以 看 到 本 例 中 下 载 的 
文件 为 jpg。 所以, 在 Follow TCP Stream 对 话 框 中 看 到 JFIF 信息 ,表示 这 是 一 个 在 前 面 传 
输 的 文件 。 这 里 将 该 信息 保存 ， 将 会 显示 原文 件 的 内 容 。 此 时 单 击 Save As 按钮 ， 将 弹出 
如 图 19.14 所 示 的 界面 。 
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(8) 在 该 界面 选择 保存 该 文件 的 位 置 及 文件 名 。 这 里 将 该 文件 保存 为 与 传输 时 相同 的 
文件 名 catjpg， 然 后 单 击 Save 按钮 。 


(9) 此 时 打开 保存 的 文件 ， 将 显示 如 图 19.15 所 示 的 界面 。 


AS 

Mame: catjpd 

Save n foder: [+ | Adminisvator [Bpesktep] 
Ben [me < spe Modified 

A Search 站 ARP 攻防 图 片 2014/8/2 

(© Recently Used 加 Linux 安 全 淖 适 资料 2014/8/27 

© peskop ‘© Wireshark 2014/9/4 

DS Administrator 和 2014/8/2 

© Desktop [El 2014/8/21 
二 (C) [a Vesterday at 15:26 
电 DVD RW 波动 器 (G) | [ [HTTP 可 三 指南] David.Gourley 89.3 MB 星 明 二 

~ 本 地 开盘 (Ht) 口 ftp.pcapng 892kB Vesterday at 19:32 
总 BD-ROM 统 动 器 (| [ftp-transportpcapng 37KB Yesterday at 19:44 
| share \\192.168.0..。 双 徊 10 窒 -18HTPS 协 议 条 纪 分 析 .。 2.2 MB 10:00 

习 委 11 宣 doc TT82 kB Yesterday at 20:52 

| 到 欢 更 新 sax 109kB 2014/6/21 

i | g 


图 19.14 保存 传输 的 文件 图 19.15 ”传输 的 原文 件 


(10) 从 该 界面 可 以 看 到 ， 用 户 从 FTP 服务 器 上 下 载 了 一 张 图 片 。 用 户 可 以 根据 以 上 
方法 ， 重 新 组 合并 查看 所 有 传输 的 文件 信息 。 如 果 用 户 想 查看 传输 该 文件 的 包 信息 时 ， 则 
返回 到 Wireshark 界面 ， 将 看 到 如 图 19.16 所 示 的 界面 。 


rp-pcoprg Wireshork 1107 W1107 0-96b9310l from master 110) 
Be Edt Vow Go Gpore anayre SEC Telophony Toog jntemak 


byres 
byres 


1448 
50033 > ftp-Gata [ACK] Seq-l 
Data: 1045 bytes 


图 19.16 ”传输 catjpg 文件 的 数据 包 


(11) 在 该 界面 显示 的 数据 包 就 是 传输 catjpg 文件 的 所 有 数据 包 。 在 传输 该 文件 的 过 
程 中 ， 经 过 了 TCP 三 次 握手 和 四 次 断 开 连接 。 
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电子 邮件 (标志 为 @) 是 一 种 用 电子 手段 提供 信息 交换 的 通信 方式 ， 它 曾 是 互联 网 应 
用 最 广 的 服务 。 通 过 网 络 的 电子 邮件 系统 , 用 户 可 以 以 非常 低廉 的 价格 、 非 常 快速 的 方式 ， 
与 世界 上 任何 一 个 角落 的 网 络 用 户 联系 。 电 子 邮 件 可 以 是 文字 、 图 像 、 声 音 等 多 种 形式 。 
同时 ， 用 户 可 以 得 到 大 量 免费 的 新 闻 和 专题 邮件 ， 并 实现 轻松 的 信息 搜索 。 本 章 将 介绍 电 
子 邮件 抓 包 分 析 。 


20.1 邮件 系统 工作 原理 


电子 邮件 是 一 种 服务 ， 所 以 对 应 的 就 会 有 邮件 客户 端 。 该 服务 与 其 他 各 种 Intemet 服 
务 相 比 ， 电 子 邮 件 服 务 相 对 比较 复杂 , 要 牵涉 到 POP3、MSTP 和 IMAP 等 多 种 协议 。 而 且 ， 
一 个 实际 的 邮件 服务 系统 往往 由 很 多 相互 独立 的 软件 包 组 成 ， 需 要 解决 它们 之 间 集 成 时 的 
接口 问题 。 本 节 将 介绍 邮件 客户 端 、 邮 件 系统 组 成 及 工作 原理 等 内 容 。 


20.1.1 什么 邮件 客户 端 


邮件 客户 端 通常 指使 用 IMAP、POP3、SMTP、APOP 和 ESMTP 协议 收发 电子 邮件 的 
软件 。 用 户 不 需要 登录 邮箱 就 可 以 收发 邮件 。 世 界 上 有 很 多 著名 的 邮件 客户 端 , 如 Windows 
自 带 的 Outlook 和 Mozilla Thunderbird; 微软 Outlook 的 升级 版 Windows Live Mail; 国内 容 
户 端 三 剑客 FoxMail、Dreammail 和 KooMail 等 .本 书 将 以 腾讯 的 FoxMail 邮件 客户 端 为 例 ， 
进行 收发 邮件 。 然 后 使 用 Wireshark 捕获 相应 的 数据 包 ， 并 进行 详细 分 析 。 


20.1.2 ”邮件 系统 的 组 成 及 传输 过 程 


虽然 邮件 系统 也 是 基于 客户 端 /服务 器 模式 的 , 但 邮件 从 发 件 人 的 客户 端 到 收 件 人 的 客 
户 端的 过 程 中 ， 还 需要 邮件 服务 器 之 间 的 相互 传输 。 因 此 ， 与 其 他 单纯 的 客户 端 /服务 器 工 
作 模 式 〈 如 FTP、Web 等 ) 相 比 ， 电 子 邮 件 系统 相对 要 复杂 。 电 子 邮 件 系统 的 组 成 和 传输 
过 程 如 图 20.1 所 示 。 
图 20.1 所 示 就 是 邮件 传输 的 整个 过 程 , 从 该 图 中 可 以 看 到 此 过 程 中 是 由 多 个 软件 程序 
组 成 的 。 下 面 首先 介绍 一 下 这 几 个 内 容 软 件 程序 ， 如 下 所 示 。 
口 MUA (Mail User Agent， 邮 件 用 户 代理 ) : 一 般 被 称 为 邮件 客户 端 软 件 。MUA 软 
件 的 功能 是 为 用 户 提 供 发 送 、 接 收 和 管理 电子 邮件 的 界面 。 在 Windows 中 常用 的 
Outlook、FoxMail 等 都 属于 MUA。 
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MUA [spa 一 | 信箱 | 


"| | 


MTA | SMTIE | MTA POP/ IMPA| es (ad ) 


图 20.1 邮件 传输 过 程 


口 MTA (Mail Transfer Agent， 邮 件 传输 代理 ) : 一 般 被 称 为 邮件 服务 器 软件 。MTA 
软件 负责 接收 客户 端 软 件 发 送 的 邮件 ， 并 将 邮件 传输 给 其 他 的 MTA 程序 , 是 电子 
邮件 系统 中 的 核心 部 分 .Exchange 和 Sendmail、 Postfix 等 服务 器 软件 都 属于 MTA。 

口 MDA (Mail Delivery Agent， 邮 件 分 发 代理 ) : MDA 软件 负责 在 服务 器 中 将 邮件 
分 发 到 用 户 的 邮箱 目录 。MDA 软件 比较 特殊 ， 它 并 不 直接 面向 邮件 用 户 ， 而 是 在 
后 台 默 默 地 工作 。 有 时 候 MDA 的 功能 可 以 直接 集成 在 MTA 软件 中 ， 因 此 经 常 被 

图 20.1 所 示 的 详细 过 程 如 下 所 示 。 

(1) MUA 使 用 SMTP 协议 将 邮件 发 送 给 MTA。 

(2) MTA 收 下 邮件 后 ， 要 根据 收 件 人 的 信息 决定 下 一 步 的 动作 。 如 果 收 件 人 是 自己 系 
统 上 的 用 户 ， 则 直接 投递 。 如 果 收 件 人 是 其 他 网 络 系统 的 用 户 ， 则 需要 把 邮件 传递 给 对 方 
网 络 系统 的 MTA。 此 时 ， 可 能 要 经 过 多 个 MTA 的 转发 才 真正 到 达 目 的 地 。 如 果 邮 件 无 法 
投递 给 本 地 用 户 ， 也 无 法 转交 给 其 他 MTA 处 理 ， 则 要 把 邮件 退还 给 发 件 人 ， 或 者 发 通知 
邮件 给 管理 员 。 

(3) 邮件 最 终 到 达 了 收 件 人 所 在 网 络 的 MTA， 于 是 该 MTA 发 现 收 件 人 是 本 地 系统 的 
用 户 ， 就 交 给 了 MDA 处 理 ， MDA 再 把 邮件 投递 到 收 件 人 的 信箱 里 。 信 箱 的 形式 可 以 是 普 
通 的 目录 ， 也 可 以 是 专用 的 数据 库 。 不 管 是 哪 种 方式 ， 这 些 邮 件 都 需要 有 一 种 长 期 保存 的 
机 制 。 

(4) 邮件 被 放 入 信箱 后 ， 就 一 直 保存 在 那里 ， 等 待 收 件 人 来 收取 。 收 件 人 也 是 通过 
MUA 来 读 取 邮 件 的 ， 但 此 时 MUA 要 联系 的 并 不 是 发 邮件 时 所 联系 的 MTA， 而 是 另 一 个 
提供 POP/TIMAP 服务 的 软件 。 而 且 读 取 邮 件 时 所 采用 的 协议 也 不 是 SMTP， 而 是 POP3 或 
者 IMAP。 

图 20.1 所 示 的 两 个 MTA 分 别 承担 了 发 邮件 和 收 邮件 的 功能 。 实 际 上 ， 任 何 MTA 都 
可 以 同时 承担 收 邮件 和 发 邮件 的 功能 。 即 除了 接受 MUA 的 委托 ， 将 邮件 投递 到 收 件 人 所 
在 的 邮件 系统 外 ， 还 可 以 接收 另 一 个 MTA 发 来 的 邮件 ， 然 后 根据 收 件 人 信息 决定 是 投递 
给 本 地 用 户 还 是 转发 给 其 他 MTA。 


20.2 ”邮件 相关 协议 概述 


在 前 面 介绍 的 邮件 传输 过 程 中 ， 需 要 使 用 到 邮件 传输 的 相关 协议 ， 如 SMTP、POP 和 


“ls 


第 2 篇 网 络 协议 分 析 篇 


IMAP 等 。 本 节 将 详细 介绍 这 几 种 协议 。 
20.2.1 SMTP 协议 


SMTP (Simple Mail Transfer Protocol， 简单 邮件 传输 协议 ) 主要 用 于 发 送 和 传输 邮件 ， 
MUA 使 用 SMTP 协议 将 邮件 发 送 到 MTA 服务 器 中 ， 而 MTA 将 邮件 传输 给 其 他 MTA 服 
务 器 时 同样 也 使 用 SMTP 协议 。SMTP 协议 使 用 的 TCP 端口 号 为 23， 对 应 支持 发 信 认 证 
的 邮件 服务 器 ， 将 会 采用 扩展 的 SMTP 协议 (Extended SMTP) 。SMTP 的 工作 模式 如 图 
20.2 所 示 。 


SMTP 请 求 


SMTP 应 答 


TCP 和 连接 


图 20.2 SMTP 工作 模型 


图 20.2 所 示 的 详细 过 程 如 下 所 示 。 

(1) 发 送 方 首先 向 接收 方 的 25 号 端口 发 起 TCP 连接 请 求 ， 接 收 方 收 到 请 求 后 ， 就 建 
立 了 TCP 连接 。 

(2) 建立 连接 后 ， 发 送 方 就 可 以 向 接收 方 发 送 SMTP 命令 了 。 

(3) 接收 方 收 到 命令 后 , 根据 具体 情况 决定 是 否 执 行 , 然后 给 发 送 方 返回 相应 的 应 答 。 

SMTP 协议 属于 请 求 /应 答 范 式 ， 请 求 和 应 答 都 基于 ASCII 文本 ， 并 以 CR 和 LF 符 结 
束 。 应 答 包 括 一 个 3 位 数字 的 代码 , 以 及 供 人 阅读 的 文本 介绍 ,常见 的 SMTP 命令 如 表 20-1 
所 示 ， 其 中 包括 捕获 扩展 的 SMTP 命令 。 


表 20-1 常见 的 SMTP 命 令 


命令 名 称 及 格式 功 能 

了 ELO < 客户 机 域名 > 鉴别 对 方 是 于 支持 SMTP 协议 ， 应 该 是 发 送 方 的 第 一 条 命令 

EHLO 鉴别 接收 方 是 于 支持 ESMTIP 协议 ， 接 收 方 返 回 所 支持 的 扩展 命令 
AUTH 表示 要 进行 认证 

MAIL EROME< 发 件 和 地 址 > | 告诉 接收 方 即将 发 送 一 个 新 邮件 ， 并 对 所 有 的 状态 和 组 冲 区 进行 初始 化 
RCPTTO:< 收 件 人 地 址 > | 标识 各 个 邮件 接收 者 的 地 址 ， 该 命令 可 以 发 送 多 个 ,表示 有 多 个 收 件 人 
DATA 告诉 接收 方 此 后 的 内 容 是 邮件 正文 , 直到 以 “” 为 叭 一 内 容 的 一 行为 上 
REST 退出 /复位 当前 的 邮件 传输 

NOOP 宝 操作 ， 用 于 使 TCP 连接 保持 ， 并 有 助 于 命令 和 应 答 的 同步 

Qu 要 求 停止 传输 并 关闭 TCP 连接 

VRFY < 字符 申 > 交 维 定 的 名 条 是 下 存在 ， 出 于 安 人 考虑 ，SYT 服务 避 一 服 和 入 
EXPN < 字符 中 > 查询 是 青 有 邮箱 属于 给 定 的 邮箱 列表 ， 出 于 安全 考虑 ， 经 常 禁 上 使 用 该 命令 
DEBUG 如 果 被 接收 ， 接 收 方 将 处 于 调试 状态 

HELP 返回 帮助 信息 ， 包 括 服务 器 所 支持 的 命令 
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SMTP 接收 方 收 到 命令 后 ， 将 根据 具体 情况 给 发 送 方 返回 应 答 。 应 答 包括 应 答 码 和 供 
人 阅读 的 文本 解释 。 所 有 的 应 答 码 及 解释 如 表 20-2 所 示 。 


表 20-2 SMTP 应 答 及 含义 


应 答 含义 
200 表示 成 功 执行 了 命令 ， 不 是 标准 的 响应 

站 有 系统 状态 或 系统 帮助 回复 

214 帮助 信息 

220 < 域名 称 > 服 务 已 准备 就 绪 

221 < 域名 称 > 服务 正在 关闭 传输 通道 

250 所 请 求 的 命令 已 成 功 执行 

Zi 收 件 人 非 本 地 用 户 ， 将 根据 收 件 人 地 址 进行 转发 
354 开始 邮件 输入 ， 以 <CDLF>.<CDLF> 结 束 

421 < 域名 称 > 服务 无 效 ， 关 闭 传输 通道 

450 因 上 邮箱 无 效 ， 所 请 求 的 MAIL 命令 没有 执行 (如 邮箱 繁忙 
451 因 本 地 处 理 错 误 ， 放 弃 执 行 所 请 求 的 命令 

452 因 系 统 存储 不 够 ， 所 请 求 的 命令 没有 执行 

500 语法 错误 ， 命 令 不 被 承认 

501 命令 的 参数 存在 语法 错误 

502 命令 没有 被 实现 

503 不 正确 的 命令 次 序 

504 命令 参数 未 实现 

521 < 域名 称 > 不 接收 邮件 

530 拒绝 访问 

550 因 邮 箱 无 效 ， 所 请 求 的 MAIL 命令 没有 执行 〈 如 邮箱 未 找到 ， 或 者 不 可 访问 ) 
551 非 本 地 用 户 

552 因 超过 存储 分 配 ，MAIL 命令 被 放弃 

553 因 信箱 名 称 未 被 允许 ， 请 求 的 命令 没有 执行 
554 传输 事务 失败 


20.2.2 POP 协议 


POP (Post Office Protocol， 邮 局 协议 ) 主要 用 于 从 邮件 服务 器 收取 邮件 ， 目 前 POP 协 
议 的 最 新 版 本 为 POP3。 大 多 数 MUA 软件 都 支持 使 用 POP3 协议 , 因此 应 用 最 广泛 。 POP3 
协议 使 用 的 TCP 端口 为 110。POP3 工作 模型 如 图 20.3 所 示 。 


POP3 请 求 

POP3 应 答 
客 应 
户 
端 

TCP 连 接 


图 20.3 ”POP3 工作 模型 


图 20.3 所 示 的 详细 过 程 如 下 所 示 。 
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(1) 客户 端 首先 向 POP3 服务 器 的 110 端口 号 发 起 TCP 连接 请 求 ， 服 务 器 接受 了 请 求 
后 就 建立 了 TCP 连接。 

(2) 建立 连接 后 ， 客 户 端 就 可 以 向 服务 器 发 送 POP3 命令 了 。 

(3) 服务 器 收 到 命令 后 , 根据 具体 情况 决定 是 否 执 行 , 然后 给 客户 端 回复 相应 的 应 答 。 

POP3 协议 也 是 属于 请 求 /应 答 范 式 的 ， 请 求 和 应 答 都 是 基于 ASCII 文本 ， 并 以 CR 和 
LF 符 结 束 。 应 答 包 括 确认 和 错误 两 种 情况 ， 以 及 供 人 阅读 的 文本 解释 。 常 用 的 POP3 命令 
如 表 20-3 所 示 。 


表 20-3 常用 的 POP3 命令 


命令 名 称 功 能 
USER < 用 户 名 > 提交 用 户 名 
PASS < 密码 > 提交 密码 
STAT 请 求 服务 器 返回 信箱 统计 资源 ， 如 邮件 数 、 邮 件 总 字 节 数 等 
LIST <n> 列 出 第 n 封 邮件 的 信息 
RETR <n> 返回 第 n 封 邮件 的 全 部 内 容 
DELE <n> 删除 第 na 封 邮 件 ， 只 有 QUIT 命令 执行 后 才 真正 删除 
RSET 撤销 所 有 的 DELE 命令 
UIDL <n> 返回 第 na 封 邮件 的 标识 
TOP <n，m> 返回 第 n 封 邮件 的 前 mm 行内 容 
NOOP 空 操作 。 用 于 使 TCP 连接 保持 ， 并 有 助 于 命令 和 应 答 的 同步 
QUIT 结束 会 话 ， 退 出 


20.2.3 1IMAP 协议 


IMAP (Internet Message Access Protocol， 互 联网 消息 访问 协议 ) 同样 用 于 收取 邮件 ， 
目前 IMAP 协议 的 最 新 版 本 是 IMAP4。 与 POP3 相 比较 ，IMAP4 协议 提供 了 更 为 灵活 和 强 
大 的 邮件 收取 和 邮件 管理 功能 。IMAP4 协议 使 用 的 TCP 端口 为 143 。 

IMAP 和 POP3 是 最 常见 的 读 取 邮件 的 Intemet 协议 标准 , 目前 在 用 的 绝 大 部 分 邮件 客 
户 端 和 服务 器 都 支持 这 两 种 协议 。 虽 然 这 两 种 协议 都 允许 邮件 客户 端 访问 服务 器 上 存储 的 
邮件 信箱 ， 但 它们 之 间 有 很 大 的 差别 。IMAP 协议 主要 的 特点 如 下 所 示 。 


1. 在线 和 离线 两 种 操作 模式 


当 使 用 POP3 时 ,客户 端 连 接 到 服务 器 并 读 取 所 有 邮件 后 ， 就 要 断 开 连 接 。 但 对 IMAP 
来 说 ， 只 要 用 户 邮件 代理 是 活动 的 并 且 需 要 随时 读 取 邮 件 信息 ， 客 户 端 就 可 以 一 直 连 接 在 
服务 器 上 。 对 于 有 很 多 或 者 很 大 邮件 的 用 户 来 说 ， 使 用 IMAP 方式 可 以 更 加 方便 地 获取 邮 
件 ， 加 快 访问 速度 。 


2. 用 户 信箱 的 多 重 连接 

IMAP 支持 多 个 客户 端 同 时 连接 到 同一 个 用 户 信箱 上 。POP3 协议 要 求 信箱 当前 的 连接 
是 唯一 的 ， 而 IMAP 协议 允许 多 个 客户 端 同时 访问 同一 个 用 户 的 信箱 。 另 外 还 提供 一 种 机 
制 使 任 一 个 客户 端 可 以 知道 当前 连接 的 其 他 客户 端 所 做 的 操作 。 
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3. 在 线 浏览 


IMAP 可 以 只 读 取 邮 件 消息 中 MIME 内 容 的 一 部 分 。 几 乎 所 有 的 Intemet 邮件 都 是 以 
MIME 格式 传输 的 。MIME 允许 消息 组 织 成 一 种 树 状 结构 ， 这 种 树 状 结构 中 的 叶 节 点 都 是 
独立 的 消息 ， 而 非 叶 节 点 是 其 附属 的 叶 节 点 内 容 的 集合 。IMAP 协议 允许 客户 端 读 取 任 何 
独立 的 MIME 消息 以 及 附属 在 同一 非 叶 节点 上 的 那 部 分 MIME 消息 .这 种 机 制 使 得 用 户 无 
需 下 载 附件 ， 就 可 以 浏览 邮件 内 容 或 者 在 读 取 内 容 的 同时 进行 浏览 。 


4. 在 服务 器 保留 邮件 的 状态 信息 

IMAP 可 以 在 服务 器 上 保留 邮件 的 状态 信息 。 通 过 使 用 IMAP 协议 中 定义 的 标志 ， 客 
户 端 可 以 跟踪 邮件 的 状态 。 例 如 ， 邮 件 是 否 已 被 读 取 、 回 复 或 者 删除 。 这 些 标志 存储 在 服 
务 器 上 , 所 以 多 个 客户 端 在 不 同时 间 访 问 同 一 个 信箱 时 , 可 以 知道 其 他 客户 端 所 做 的 操作 。 

5. 支持 多 信箱 

IMAP 支持 在 服务 器 上 访问 多 个 信箱 。 用 户 信箱 通常 以 文件 夹 的 形式 存在 于 邮件 服务 
器 的 文件 系统 中 , IMAP 客户 端 可 以 创建 、 改 名 或 刚 除 这 些 信箱 。 除 了 支持 多 信箱 外 , IMAP 
还 支持 客户 端 对 共享 的 和 公共 的 文件 夹 进 行 访问 。 


6. 服务 端 搜索 


IMAP 支持 服务 端 搜索 。IMAP4 提供 了 一 种 机 制 ， 使 客户 端 可 以 让 服务 器 搜索 多 个 信 
箱 中 符合 条 件 的 邮件 ， 然 后 再 读 取 这 些 邮 件 ， 而 不 是 把 所 有 的 邮件 下 载 到 客户 端 后 再 进行 


搜索 。 这 种 方式 可 以 减少 网 络 中 不 必要 的 数据 流量 。 

7. 良好 的 扩展 机 制 

IMAP 还 提供 了 一 种 良好 的 扩展 机 制 。 吸 取 早 期 nternet 协议 的 经 验 ，IMAP 为 其 扩展 
功能 定义 了 一 种 明确 的 机 制 ， 使 得 协议 扩展 起 来 非常 方便 。 目 前 ， 很 多 对 原始 协议 的 扩展 
都 已 经 成 为 标准 ， 并 得 到 广泛 的 使 用 。 

8. 支持 密 文 传输 

IMAP 协议 本 身 还 直接 定义 了 密 文 传输 机 制 。 由 于 加 密 机 制 需要 客户 端 和 服务 器 相互 
配合 才能 完成 ， 因 此 ，IMAP 还 保留 明文 密码 传输 机 制 ， 以 便 不 同类 型 的 客户 端 和 服务 器 
能 进行 邮件 传输 。 另 外 ， 使 用 SSL 也 可 以 对 IMAP 的 通信 进行 加 密 。 

常见 的 IMAP 命令 如 表 20-4 所 示 。 


表 20-4 常见 的 IMAP 命 令 列 表 


命令 名 称 功 能 
CREATE | 创建 一 个 新 邮箱 ， 信 箱 名 称 通常 是 带路 径 的 目录 全 名 
人 删除 指定 名 字 的 信箱 。 信 箱 名 通常 是 带路 径 的 目录 全 名 ， 信 箱 删除 后 ， 其 中 
的 邮件 也 不 再 存在 
RENAME | 修改 信箱 的 名 称 ， 信 箱 名 通常 是 带路 径 的 目录 全 名 
LIST 列 出 信箱 内 容 
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命令 名 称 功 能 

APPEND 使 客户 端 可 以 上 传 一 个 邮件 到 指定 的 信箱 

SELECT 让 客户 端 选 定 某 个 信箱 ， 表 示 以 后 的 操作 默认 时 是 对 该 信箱 进行 的 

FETCH 用 于 读 取 邮 件 的 文本 信息 ， 仅 用 于 显示 目的 

STORE 用 于 修改 邮件 的 属性 。 包 括 给 邮件 打上 已 读 标记 、 删 除 标记 等 

i 表示 客户 端 结束 对 当前 信箱 的 访问 并 关闭 邮箱 。 该 信箱 中 所 有 标记 为 
DELETED 的 邮件 将 被 彻底 删除 

EXPUNGE 在 不 关闭 信箱 的 前 提 下 删除 所 有 标记 为 DELETED 的 邮件 

EXAMINE 以 只 读 方 式 打 开 信 箱 

SUBSCRIBE 在 客户 机 的 活动 邮箱 列表 中 添加 一 个 新 信箱 

UNSUBSCRIBE 在 客户 机 的 活动 邮箱 列表 中 去 除 一 个 信箱 
与 LIST 命令 相似 , 但 LSUB 命令 只 列 出 那些 由 SUBSCRIBE 命令 设置 的 活动 

LSUB 信箱 

STATUS 查询 信箱 的 当前 状态 

CHECK 用 来 在 信箱 上 设置 一 个 检查 点 

SEARCH 根据 指定 的 条 件 在 处 于 活动 状态 的 信箱 中 搜索 邮件 ， 然 后 加 以 显示 

COPY 把 邮件 从 一 个 信箱 复制 到 另 一 个 信箱 

Gi 7 FETCH、COPY、STORE 或 者 SEARCH 命令 一 起 使 用 , 代替 信箱 中 邮件 的 
顺序 号 

CAPABILITY 请 求 返 回 IMAP 服务 器 支持 的 命令 列表 

i 空 操 作 。 防 止 因 长 时 间 处 于 不 活动 状态 而 导致 TCP 连接 被 中 断 ， 服 务 器 对 该 
命令 的 应 答 始终 为 肯定 

OE 当前 登录 用 户 退出 登录 并 关闭 所 有 已 打开 的 邮箱 ， 任 何 标记 为 DELETED 的 


邮件 都 将 被 删除 


20.3 ”捕获 电子 邮件 数据 包 


前 面 对 电 子 邮件 及 使 用 的 相关 协议 进行 了 详细 介绍 。 本 节 将 介绍 使 用 Wireshark 工具 
捕获 电子 邮件 数据 包 , 获取 到 邮箱 登录 的 信箱 和 发 送 邮件 的 信箱 。 然 后 根据 捕获 的 数据 包 ， 
对 POP3 协议 和 SMTP 协议 进行 详细 分 析 。 


20.3.1 Wireshark 捕获 位 置 


在 捕获 电子 邮件 数据 包 之 前 ， 首 先 需要 配置 网 络 环境 ， 如 Wireshark 的 位 置 、 邮 件 客 
户 端 Foxmail 的 位 置 等 。 本 例 中 的 实验 环境 如 图 20.4 所 示 。 

图 20.4 所 示 为 本 例 中 的 实验 环境 。 在 该 环境 中 的 发 送 方 和 接收 方 分 别 安装 及 配置 了 
Foxmail 邮件 客户 端 ， 并 将 Wireshark 安装 在 发 送 方 主机 上 。 其 中 ， 发 送 方 和 接收 方 都 是 


Windows 7 操作 系统 。 
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邮件 发 送 服务 器 邮件 接收 服务 器 
smtp.163.com pop3.126.com 


战 
是 池 


已 


”发 送 方 接收 方 
xingxingdeleihesmz(@I63com testtesttestmail(@126.com 


图 20.4 实验 环境 


20.3.2 Foxmail 邮件 客户 端的 使 用 


准备 好 实验 环境 后 ， 就 可 以 捕获 数据 包 了 。 但 是 ， 可 能 很 多 人 不 太 了 解 Foxmail 邮件 
客户 端 ， 所 以 这 里 先 介绍 下 该 软件 的 使 用 方法 。Foxmail 邮件 客户 端 在 Windows 操作 系统 
中 默认 是 没有 安装 的 ， 所 以 首先 需要 将 该 软件 安装 到 系统 中 才 可 使 用 。 

Foxmail 的 官方 网 站 为 http://www.foxmail.com， 用 户 可 以 到 该 网 站 下 载 最 新 版 本 的 
Foxmail 软件 ， 然 后 安装 。 由 于 在 Windows 系统 中 安装 软件 的 方法 比较 简单 ， 所 以 这 里 就 
不 介绍 该 软件 的 安装 了 。 当 Foxmail 软件 安装 成 功 后， 将 会 在 桌面 上 创建 一 个 Foxmail 的 
快捷 方式 图 标 〈 图 ) 。 用 户 双击 该 图 标 ， 将 打开 Foxmail 的 图 形 界面 。 

Foxmail 软件 安装 成 功 后 ， 默 认 没 有 添加 任何 邮件 用 户 。 所 以 在 第 一 次 运行 Foxmail 
时 ， 将 会 弹出 新 建 账号 向 导 的 界面 ， 如 图 20.5 所 示 。 


如 果 算 还 没有 部 箱 ,推荐 注 贡 一 个 QQ 猎 箱 


和 如果 您 天 过 Outlook/Outlook Express/Foxmail 旧 版 本 等 软件 ， 
可 以 相近 S 和 已 有 


图 20.5 输入 Email 地 址 
在 该 界面 “Email 地 址 ”文本 框 中 输入 一 个 电子 邮件 地 址 ， 这 里 输入 的 邮件 地 址 为 


“Ms 
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xingxingdeleihesmz@163.com， 然 后 单 击 “ 下 一 步 ” 按 钮 ， 将 显示 如 图 20.6 所 示 的 界面 。 


图 20.6 设置 账号 信息 


在 该 界面 设置 邮箱 类 型 、 密 码 和 账号 描述 。 这 里 选择 邮箱 类 型 为 POP3， 账 号 描述 可 
以 随便 填 。 设 置 完 后 ， 单 击 “ 下 一 步 ”按钮 ， 将 显示 如 图 20.7 所 示 的 界面 。 


a 


图 20.7 账号 创建 完成 


从 该 界面 可 以 看 到 邮件 账号 已 添加 完成 。 为 了 确保 该 邮件 账号 工作 正常 ， 这 里 进行 测 
试 一 下 。 在 该 界面 单 击 “ 测 试 ” 按 钮 ， 将 显示 如 图 20.8 所 示 的 界面 。 


图 20.8 测试 添加 的 账号 
从 该 界面 可 以 看 到 测试 成 功 。 如 果 添 加 的 邮件 账号 有 问题 的 话 ， 将 提示 相应 的 错误 信 


"388。 
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息 。 此 时 单 击 “ 关 闭 ” 按 钮 ， 返 回 到 图 20.7 所 示 的 界面 。 然 后 单 击 “ 完 成 ”按钮 ， 将 显示 
如 图 20.9 所 示 的 界面 。 


中 本 央 (2014/9/9) 车 
PNR = 
ce 


i 


图 20.9 ”Foxmail 的 界面 


该 界面 就 是 Foxmail 的 图 形 界面 ， 在 该 界面 可 以 看 到 收 件 箱 中 有 5 封 邮件 。 这 时 候 ， 
该 用 户 就 可 以 与 其 他 邮件 用 户 进行 发 送 和 接收 邮件 了 。 


20.3.3 捕获 电子 邮件 数据 包 


上 一 小 节 对 Foxmail 的 使 用 进行 了 介绍 ， 接 下 来 通过 使 用 该 软件 进行 收发 邮件 ， 使 得 
Wireshark 能 够 捕获 到 电子 邮件 数据 包 。 由 于 邮件 服务 使 用 的 协议 〈 如 SMTP、POP) 都 是 
基于 TCP 协议 的 ， 所 以 用 户 可 以 通过 使 用 tcp 捕获 过 滤器 来 捕获 数据 包 。 这 样 ， 尽 可 能 地 
减少 捕获 一 些 无 用 的 数据 包 。 本 小 节 将 介绍 捕获 电子 邮件 数据 包 。 

使 用 Wireshark 工具 捕获 电子 邮件 数据 包 。 具 体操 作 步 又 如 下 所 示 。 

(1) 启动 Wireshark 工具 。 

(2) 在 Wireshark 的 主 界面 菜单 栏 中 依次 选择 CapturelOptions 命令 ， 或 者 单 击 工 具 栏 
中 的 图 (显示 捕获 选项 ) 图 标 打开 Wireshark 捕获 选项 窗口 ， 如 图 20.10 所 示 。 


[capture nterface Uink-layer header Prom. Mode Snapien [B] Buffer [MiB] Capture Flter ~ 
本 池 迁 漳 
团 ac50el472tl4seke 欠 sherret enabled 。 defask 2 tp 
19216852 
4 下 


| Copture on ol interfaces Manage irterfaces 


回 vee promiteuoos mode on ell interleces 
ET 
pars Fhes pepay opeons 

Fie: | CNWiresharkyonmailpcapndg Vpdate list of packets in real ime 


Butomaticaly scrol during ive capture 


同 Hide capture info dialcg 
Mame Resouton 

网 Rescke MAC addresses 

癌 Resche oetwork- layer rames 


同 Resclve transport-leyer name 


回 Use gaaral network rame resolver 


ere | 


图 20.10 设置 捕获 选项 


“9s 
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(3) 在 该 界面 选择 捕获 接口 、 设 置 捕获 过 滤器 及 捕获 文件 的 保存 位 置 ， 如 图 20.10 所 
示 。 配 置 完 以 上 信息 后 ， 单 击 Start 按钮 开始 捕获 数据 包 。 

(4) 此 时 使 用 Foxmail 发 送 或 接收 邮件 ， 以 产生 供 Wireshark 捕获 的 数据 包 。 这 里 使 
用 Foxmail 中 添加 的 邮件 账号 xingxingdeleihesmz@163.com, 问 testtesttestmail@126.com 邮 
件 账号 发 送 或 接收 邮件 ， 以 产生 相应 的 电子 邮件 数据 包 。 当 发 送 或 接收 邮件 操作 完成 后 ， 
返回 到 Wireshark 界面 ， 停 止 捕获 数据 包 ， 将 显示 如 图 20.11 所 示 的 界面 。 
P| 


Ee Edt Vew Go Capture Anayze Sarsuc Telephony Took Intemas Heb 
oad 人 KS 中 OTF 国 国 aQQD 本 加 电光 四 


Fiters | Expression. clear Apply Ser= 
No Time Source Destinotion Protocol Length Info 加 | 
3 0.015531000 192.1 54 49847 > smtp [ACK] Seq-l Ack-l win-17152 上 
4 1.033602000 123.125.50.138 2 ”SMP 119 5: 220 163.com Anti-span GT for Coremai] 5. 

5 1.044178000 192.168.5.2 。。 123.125. 50.138 STP 73 €: ENLO Windows7Test 
6 1.055170000 123.125.50.138 192.168.5-2 -TCP 60 smrp > 49847 [ACK] Seq-66 Ack=20 win=14720 
7 1.055582000 123,125.50.138 192,168.5.2 。 srP ~ 2395;: 250 mail | 250 PIPELINING | 250 AUTH LO 
8 1.057945000 192.168.5.2 123,125.50.138 SMTP 56 c: Aum LOGIN 
9 1.068551000 123.125.50.138 192.168.5.2 SMTP 72 5: 334 dxN1cmshbwu6 
10 1.071348000 192.168.5.2 123.125.50.135 SMrp 92 c: User: eGluz3hpbadkzwx1awhlc21600E2My5jb 
11 1. 082933000 123.125.50.138 192.168. 5.2 Srp 72 5: 334 UGFzc3dvcmQ6 
12 1- 084807000 192.168-5.2 123.125.50.138 。 syTP 68 c: Pass: MTIzLnNvbq 一 
192.168. 5. STP 85 5; 235 Authentication successful 
SnTp 95 c: NATL FROM: <xingxingdeleihesmzs163. com> 
SP 67 5: 250 Mail Ox 
138300000 132.188.35 133.125.50 7138 Sp 91 c: RCPT TO: <testtestrestmai16126. co 
17 1.168686000 123.125-50.138 192.168.5.2 SMTp 67 5: 250 Mail Ox 
18 1.181178000 192.168.5.2 123.125.50.138 SMTP 50 c DaTA ~ 


ew Fe "CAUSINGmmetato etonN [RES 17546 Deined: 17546 (100.0R) “Lo0d trrer 00 764 [Re Deaf 


图 20.11 捕获 的 数据 包 


(5) 该 界面 显示 了 以 上 操作 过 程 中 ， 捕 获 到 的 所 有 数据 包 。 如 果 在 Protocol 列 看 到 有 
TCP、POP 和 SMTP 协议 ， 表 示 成 功 捕获 到 了 电子 邮件 数据 包 。 


20.4 分析 发 送 邮 件 的 数据 包 


下 面 以 foxmail.pcapng 为 例 ， 分 析 发 送 电子 邮件 的 数据 包 。 打 开 捕获 文件 
foxmail.pcapng， 将 显示 如 图 20.12 所 示 的 界面 。 
tomalpcapna Wireshark1107 Wild7 O0609oltommeterilo he 


Ee ER Yow go Capture Anayze Statstks Telephony Ioos jntemas Hep 
ooanatleeaxSl das* 昌 OF EO aaa0 mn% 


Far 站 bpesson- Ces xppy Sme 


192.168. 5.2 Tp 54 49847 > smtp [XCK] Seq-l Ack=l Win=171 


Sp 195: 220 163.com Ant1-span GT for Corema 
Sp 73 c: EmLO windows7Test 
TcP 60 sarp > 49847 [acx] seq-66 Ack=20 winel 
Sm 239 5: 250 mail | 250 PIPELINTNG | 250 AuT 
En 66 €: AUTH LOGIN 
SP 72 5: 334 dxN1ca5hbwu6 
.168. 5.2 SP 92 c: User: ec1Lz3hpbmdkzwxlawh1c2165QpE2 
11 1.082933000 123.125.50.138 Srp 72 5: 334 UCFzC3dvcmQ5 
12 1.084807000 192-158. 5 了 Sp 5 C: Pass: NTIZLENWbQ—— 
192969000 123.125.50.138 Sp $5 5: 235 AUthent ication successful 
Sp 95 c: waTL FRON: <xingxingdeTeihesmze163- 
Ser 67 5: 250 Wail or 
Sp 91 c: RCPT TO; <testtesttestwaile126.comy 
SP 67 Ss: 250 Mail ok 
SnTP 50 C: DATA 
SP 91 5: 354 End data wirh XCF>. CAF> 
20 1.192706000 SP e476 C: DATA fragvent, 422 bytes 
21 1.244338000 Tep 60 smrp > 49847 [aCK] Seq-38L Ack-59o win 
22 工 244454000 IF 。。 1225 from: Test <xingxingdeleihesnzal63.con 
23 1.257188000 Tep 60 smtp > 49847 [acK] Seq=381 Ack=176l wi 
24 1- 307027000 Sp 126s: 250 Wail Ok queued as smtp1,C9Gouaa 
123.125. 507138 3 6oc: ourr = 


25 1. 309990000 


© MH [Pie "Cusers Mrinerrator Dacktop\ [Packats: 17546 Deniayed: 17546 (100.0%) ~ Load trre: :00 | Prof Defaik 


图 20.12 ”foxmailpcapng 捕获 文件 


“390“ 
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在 该 界面 Packet List 面板 中 的 Protocol 列 ， 可 以 看 到 显示 的 协议 有 TCP 和 SMTP。 由 
于 SMTP 协议 是 基于 TCP 协议 的 , 所 以 在 使 用 SMTP 协议 发 送 邮 件 之 前 , 首先 要 通过 TCP 


三 次 握手 建立 连接 。 所 以 ， 在 该 界面 的 前 3 个 数据 包 是 TCP 的 三 次 握手 。 其 他 的 TCP 包 
都 是 一 些 确认 包 。 下 面 主 要 分 析 SMTP 协议 的 数据 包 。 


20.4.1 分 析 SMTP 工作 流程 


在 Wireshark 中 ， 可 以 使 用 smtp 显示 过 滤器 过 滤 所 有 SMTP 的 数据 包 。 显 示 过 滤 后 的 
结果 如 图 20.13 所 示 。 
[过 一 So Capture Anayza Statetics Teephony Toos intemas Hep 


自 司 大国 而 器 牟 其 凶 人 9 光 二 于 和 业 | 四 于 @QQDI 可 国电 其 | 加 
| Expression-，Cclear Apply Save 


2 168 : 了 
123-125 30。 13s 192.168 5. E20 2 PAPEL TN 230 TAT LOGIN PLATN TN 


: 334 dxN1cm5hbwu6 

: User: eGluz3hpbmdkzwxlawh1c216QpE2My5jb20- 

: 334 UGFzc3dvcmQ6 

: pass: MTIZLmNvbq 一 

: 235 Authentication successful 
ngxingdeleihesmz0163. com> 


PT TO: A com 


漠 ng iE 
fragment, 422 bytes 
1225 Fron fost a Com>, subject: Test, 
126 5: 250 Mail OK queued as smtpl,C9GOwAAXSohYLXRUogFqCA-- 
i .168.5. SM 60 c: QUIT 
27 1.321708000 123.125.50.138 192.168.5.2 63 5: 221 Bye 
a ; 


(© WH | Fle: “C'\Ucars\Admnietrator\Deskton\f. | packets 17546 * Dnayed: 10940 (62.4%) * Load tme: 0.00 342 


图 20.13 过 滤 出 的 SMTP 数据 包 


在 Wireshark 的 Packet List 面板 中 的 Info 列 , 可 以 看 到 SMTP 中 的 一 些 命令 及 相应 码 。 
发 送 邮 件 的 整个 详细 过 程 如 下 所 示 。 

口 第 5 帧 是 客户 端 向 服务 器 发 送 的 EHLO 指令 ， 向 服务 器 表明 自己 身份 。 从 包 的 详 

细 信 息 中 ， 可 以 看 到 该 客户 端的 主机 名 为 Windows7Test。 

口 第 8 帧 是 客户 端 发 送 的 AUTH LOGIN 指令 ， 请 求 登 录 认 证 。 第 10 和 12 帧 客户 端 
分 别 使 用 User 和 Pass 命令 ， 输 入 了 登录 邮箱 的 用 户 名 和 密码 。 用 户 可 以 看 到 这 里 
输入 的 用 户 名 和 密码 都 是 加 密 的 ， 这 是 因为 SMTP 不 接收 明文 ， 必 须要 通过 64 位 
编码 后 再 发 送 。 第 13 帧 表示 成 功 登 录 邮 箱 。 
第 14 帧 是 发 送 邮件 的 账户 ， 本 例 中 是 xingxingdeleihesmz@163.com。 
第 16 帧 是 接收 邮件 的 账户 ， 本 例 中 是 testtesttestmail@126.com。 
第 18 帧 是 客户 端 发 送 的 内 容 。 第 19 帧 使 用 <CR><LF> 接 收 了 文本 的 内 容 。 
第 20 帧 显示 了 发 送 的 数据 大 小 ， 共 为 422 个 字 节 。 如 果 发 送 的 数据 过 大 ， 会 将 这 
些 内 容 分 布 在 许多 个 包 中 。 
第 22 帧 显示 了 发 送 邮件 的 账户 及 主题 信息 。 
第 25 帧 表示 断 开 与 邮件 服务 器 的 连接 。 


BBD 


OO 


“ls 
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20.4.2 ”查看 邮件 内 容 


以 上 就 是 发 送 邮 件 的 整个 过 程 。 如 果 用 户 想 查看 发 送 邮件 的 详细 信息 ， 可 以 选择 任何 
一 个 包 单 击 右键 并 选择 Follow TCP Stream 命令 进行 查看 。 如 图 20.14 所 示 。 


[Stream Content- 


| |220 163. com Anti-: 二 GT for Coremail tem (163com[20121016; 
ow os pam Sys: [ ]) 


| 250-PIPELINING 
| 3 -AUTH LOGIN PLAIN 
| 


OGIN PLAIN 
50-coremai] 1Uxr2xKj7kGOxkI17xGrU7IT0s8FY2U3Ujs8Cz28xlUUUUU7Ic2TOY2UFJnKs- 
| [ct 
250-STARTTL: 


uz 3hpbmdkzwx1awh1c216QDE2My5jb20= 
| 强 UGFzc3dvcmQ6 
MTIZLMNVbQ== 


235 Authentication successful 
NAT EMM XingxingdeTeihesnz163, com> 
| Ms 

RCPT TO: <testtesttestmail@126. com> 
| 250 Mail ok 


| end data with <cR><LF>. <cR><LF> 
| Date: Sat, 13 Sep 2014 19:50: 30; te00 
From: Test <xingxingdeleihesmz@: 
| To: testtesttestmai te po 
Re 只 -TO: xingxingdeleihesnz nnodi ei Pee: com> 
ect: Test 
| x-Prioriry: 3 
X-Has- EEChz 
| x-Mailer: Foxna91 7.0.1.91[cn] 
| Mime-version: 1.0 
| jessage-TD: 2014091319509868820730163: com 
a ‘alternative; 
| boundaryY -= ektp a T0327Y Eb16706_ 


| [zso0Y style-3" MARGIN: 10px">™ 

<DIV>&nb5p;</DI 
| <DIV>&nbsp; </DIV> 

HR style=30 HEIGHT: 1px; WIDTH: 210px” align=3Dleft color~30#b5c4df SIZE= 
-3D1> 


| 
| 
| <DIV><SPAN>This 15 a test mail!</SPAN></DIV></BODY></HTML> 

aa ._001_Nextpart032778816706_=------ 


| 250 Mail ok queued as smrp1,c9GowaAAx5ohyLxRUogFqCA--.119652 1410608985 
| QUIT a 
| 221 Bye 

Entire conversation (2227 bytes) 回 


SoveAs |[ Brint josal OFBcDC OHexDump OCAarays @ Rew 
Ce erm 


图 20.14 Follow TCP Stream 


在 该 界面 显示 的 邮件 信息 比较 清晰 ， 其 中 红色 部 分 为 客户 端 发 送 的 信息 ， 蓝 色 部 分 是 
服务 器 响应 的 信息 。 在 该 界面 ， 可 以 看 到 客户 端的 主机 名 、 邮 件 账户 、 使 用 的 邮件 客户 端 、 
邮件 内 容 类 型 和 传输 格式 等 。 更 重要 的 是 ， 还 可 以 看 见 发 送 的 内 容 ， 本 例 中 发 送 的 信息 为 
This is a test mail!。 中 间 部 分 内 容 是 将 发 送 的 邮件 内 容 转换 为 base64 位 格式 的 信息 。 如 果 
发 送 的 邮件 中 包括 有 附件 的 话 ， 在 Follow TCP Stream 对 话 框 中 ， 可 以 看 到 附件 名 ， 如 图 
20.15 所 示 。 

在 图 中 用 红色 框 选中 的 内 容 就 是 邮件 中 的 附件 信息 ， 红 色 框 下 面 的 内 容 就 是 加 密 的 邮 
件 内 容 信息 。 


“Ms 
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LINE-MEIGHT: 1.5 可 
</srte> 阅 
NETA nane=3DGENERATOR content=3D"MSHTML 11.00.9600.17280"></HEAD> 
<BODY Style=3D"MARGIN: 10px"> 
DIV>anb5pi</DIV> 
<DIV>&nbsi 
<DIVzTest mail 
,Style=30" PEA! 1px; wzorn: aaopx" align-30left color-3ofbsc4df srze- 
oto 
‘<DIV>S&nbsp; </DIV></B00Y></HT™ML> 
-= -_002_NextPart410537534117_=------ 
TE EL 
content-Typa: appiication/octert-str oam; 
name FoXai] ?0. exe™ 
ontent -ranster -encoding: base64 
(content -Disposition: attachment; 
.fiTename= “Foxmai1_7.0. exe” 
TSAALOAAAAAAAAAQAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA 
fg Ame boo Ton vehp or ToT sos vd eny etd ern 
GUUDQOK JAAAAAAAAADPFBSGi 3V1VYT] 
dv de a 1 OVUAAAX AN SRAA GP AAEMANUAVT DORUAAAAAAKAAK 
AQS BOA IAAXNYE SAXEAADAOAALABAAAKC AAAAAAEAAAGAAAAACAAAEAARAAAAAAARAAAAA 
NADAANE MA 1h EX MAAN EN NEN NMAAE ANNINANAN 
[AAAAY, 1AHgVAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA 
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAACAAAC OAGAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA 
[LR ] eHQAAACKYQAAABAAAAB i AAAABAAAAAAAAAAAAAAAAAAAIAAAYC SyZGFOYQAAIBIAAACAAAAA = 
EAAAAGYAAAAAAAAAAAAAAAAAAEAAAEAUZGFOYOAAAMVVADAAOAAAAADAAABGAAAAAAAAAAAAAAAA 
Entire conversation (14878616 bytes) = 
Savess |[ Brint |OAscn Otcoc OHexDump OCArys ORaw 


图 20.15 ”邮件 中 包括 的 附件 信息 


20.5 分析 接收 邮件 的 数据 包 


下 面 还 以 foxmail.pcapng 捕获 文件 为 例 ， 介 绍 接收 邮件 的 数据 包 信 息 。 在 Wireshark 
中 ， 提 供 了 过 滤 接 收 邮件 协议 pop 显示 过 滤器 。 所 以 ， 首 先 要 将 接收 邮件 的 数据 包 过 滤 出 
来 ， 避 免 受 一 些 无 关 的 数据 包 影 响 。 


20.5.1 分 析 POP 工作 流程 


使 用 pop 显示 过 滤器 过 滤 foxmail.pcapng 捕获 文件 中 接收 邮件 的 数据 包 ， 显 示 结果 如 
图 20.16 所 示 。 


Time Source 
36 50.852045000 123.125. 50.29 
37 50. 871398000 192-168. 5.2 123,125.50.29 
39 50. 882627000 123.125. 50.29 192.168.5.2 
40 50.897255000 192.1t 123.125. 50.29 
41 50.921021000 123.125.50. 192.168.5.2 
42 50.940174000 192.168.5.2 123.125.50.29 
43 50.951459000 123.125. 50.29 192.168.5.2 
44 50.953960000 192.168.5.2 123.125.50.29 
309631000 
123.125. 50.29 
192.168. 5.2 
123.125. 50.29 
49 51.023337000 123.125. 50.29 。 192.168. 5.2 
50 51.024991000 123.125. 50.29 192.168.5.2 
192.168. 5.2 
192.168.5.2 
123.125. 50.29 


: USER xingxingdeleihesmze163. com 
+0K core mail 
PASS 123.com 
TS 


DATA fragment, 1440 bytes 


1295 from: testtesttestmail <testtesttestmail@el26.com>, subject: Test 


POP 
Po 
Pop 
Pop 
Pop 
Pop 
Pop 
Pop 
POP 
Pop 
pop 
pop 
Pop 
Pop 
IF 
IF 
Pop 


60. 
60 c: QUIT 


192.168.5.2 POP 69 S: +OK_ Core mail 
mn 


Packats: 17546 * Desplayed: 32 (0-2%) “Load tme: 0:00-351 


图 20.16 过滤 出 的 POP 数据 包 


“ns 
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在 该 界面 显示 的 数据 包 就 是 接收 邮件 的 详细 过 程 。 下 面 将 详细 介绍 该 过 程 中 的 信息 。 
POP 也 是 基于 TCP 协议 的 ， 所 以 在 使 用 POP 接收 数据 包 之 前 同样 会 经 过 TCP 三 次 握 


。 在 该 界面 的 36 帧 ， 是 服务 器 对 客户 端的 响应 ， 表 示人 允许 客户 端 连接 服务 器 。 


口 第 37 帧 使 用 USER 命令 输入 了 用 户 名 , 这 里 的 用 户 名 为 xingxingdeleihesmz@163. 
com。 由 于 POP 允许 明文 传输 ， 所 以 这 里 输入 的 用 户 名 和 密码 等 信息 都 是 以 明文 
传输 的 。 

第 40 帧 是 客户 端 输入 的 密码 ， 这 里 的 密码 为 123.com。 

第 41 帧 表示 服务 器 收 到 了 9 封 邮 件 ， 大 小 共 为 64234 个 字 节 。 

第 42 帧 是 客户 端 向 服务 器 发 送 的 STAT 命令 ， 用 于 统计 邮件 信息 。 

第 44 帧 发 送 了 LIST 命令 , 用 于 列 出 邮件 的 大 小 。 第 45 帧 回复 了 每 封 邮件 的 大 小 ， 
如 图 20.17 所 示 。 


回回 .回回 


foxmailpcspng [Wireshark 1107 (v1.107-0-g6b9311 from master-110)] - [= 5 
|| Ele Edt Vew Go Capture Anayze Statstics Telephony Toos htemas Heb 

日 加 着 硬 区 | 巴 四 多 | 以 澡 中 国字 和 业 QQQI 国 国 昌 和 | 加 
7 


No, Time Source Destination Protocol Length Info 


一 mom 一 
盏 Frame 45: 143 bytes on wire (1144 bits), 143 bytes captured (1144 bits) on interface 0 
田 Ethernet IT, Src: TendaTec_84:78:1e (cB8:3a:35:84:78:1e), Dst: Elitegro_3f:c3:e5 (00:19:21:3f:c3:e5) 
@ Internet Protocol Version 4, src: 123.125. 50.29 (123.125.50.29), Dst: 192.168.5.2 (192.168.5.2) 
田 Transmission Control Protocol, Src Port: pop3 (110), Dst Port: 49848 (49848), Seq: 150, Ack: 60, Len: 89 
9 Post office protocol 
日 +0K 9 64234\r\n 
Response indicator: +0K 
Response description: 9 64234 
1 9930\r\n 
2 14905\r\n 
3 945\r\n 
4 11124\r\n 


8 11418\r\n 
9 2681\r\n 
rn 
4 
5 多 是 生 于 RE EVN 
001 5 18 40 00 36 06 


02038 34 0d oa 1 20 39 39 名 30 0d oa 32 20 二 4 14 
各 Fe CNUser\ dimemator\ DesktoD Pd 3596 DispByed: 32 (0.2%) ~ Und te 0 351 Profie: Defaukt 


图 20.17 9 封 邮件 的 大 小 情况 


在 Wireshark 的 Packet Detail 面板 中 ， 可 以 看 到 服务 器 响应 客户 端的 邮件 大 小 情况 。 


如 1 9930 \rm， 表示 这 是 第 一 封 邮件 ， 大 小 为 9930 个 字 节 ，\rn 是 结束 符 。 


口 第 46 帧 ， 客 户 端 向 服务 器 发 送 UIDL 命令 ， 请 求 邮件 的 唯一 标识 符 。 第 47 帧 是 


服务 器 的 响应 信息 ， 详 细 内 容 如 图 20.18 所 示 。 


在 该 界面 的 Packet Detail 面板 中 ， 可 以 看 到 每 封 邮 件 的 唯一 标识 符 。 


口 第 48 帧 是 客户 端 向 服务 器 发 送 的 RETR 命令 ， 请 求 邮件 的 内 容 。 第 50 帧 数据 包 


中 ， 可 以 看 到 服务 器 响应 客户 端的 所 有 邮件 的 大 小 为 1440 个 字 节 。 


口 第 52 帧 显示 了 邮件 的 发 送 方 是 testtesttestmail@26.com， 主 题 为 Test。 第 53 帧 表 


示 ， 邮 件 内 容 以 .〈 点 号 ) 结束 。 


口 第 55 帧 表示 终止 客户 端 与 POP3 服务 器 之 间 的 连接 。 
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图 20.18 邮件 的 唯一 标识 符 


20.5.2 ”查看 邮件 内 容 


根据 上 一 小 节 的 描述 ,可 以 知道 接收 邮件 的 整个 过 程 。 接 下 来 查看 一 下 邮件 内 容 信息 。 
在 捕获 到 的 数据 包 中 ， 选 择 任何 一 个 包 单 击 右键 并 选择 Follow TCP Stream 命令 ， 将 显示 


如 图 20.19 所 示 的 界面 。 


edo car ena lsd er C03core 
ese ea2f deb05251s]) 


db7 
i pa leihesmzel 


XRLCEBON-~. 47952; 


2 +0800 es 
-h(E elaxed/relaxed; de126. com; 

Sanjeev ten mess ERs 
pe te? ty ot ovine, GE 区 中 ov 
村 Pym ht a tt 
| ee gd WN Rotor SSE Kn duSpoe Teme GH 
se Cena!) SAN Bo mr ot om a asm Tot ~ 
<DIV><SPAN>This i a test mail !<15PAN></DIV></B0DY></HTML> 


“DO1_NeXtPar C823417302452_~--—-—- 


QUT 
| +ok core mail 
Entire comversation G283 bytes) 


[eT 


| 


图 20.19 ”接收 的 邮件 内 容 


在 该 界面 显示 了 接收 邮件 的 消息 ， 如 接收 邮件 的 用 户 名 、 密 码 、 
一 标识 符 及 邮件 的 全 部 文本 内 容 等 。 


邮件 大 小 、 


邮件 的 唯 


“0 


WI 第 21 章 操作 系统 启动 过 程 抓 包 分 析 


第 21 章 ”操作 系统 启动 过 程 抓 包 分 析 


操作 系统 (Operating System, OS) 是 管理 和 控制 计算 机 硬件 与 软件 资源 的 计算 机 程序 ， 
是 直接 运行 在 “ 裸 机 ”上 的 最 基本 的 系统 软件 。 任 何其 他 软件 都 必须 在 操作 系统 的 支持 下 
才能 运行 。 本 章 将 通过 抓 包 的 方式 分 析 Windows 7 系统 启动 的 顺序 。 


21.1 操作 系统 概述 


操作 系统 是 用 户 和 计算 机 的 接口 ， 同 时 也 是 计算 机 硬件 和 其 他 软件 的 接口 。 操 作 系 统 
的 功能 包括 管理 计算 机 系统 的 和 硬件、 软件 及 数据 资源 ， 控 制程 序 运行 ， 改 善人 机 界面 ， 为 
其 他 应 用 软件 提供 支持 等 。 它 使 计算 机 系统 所 有 资源 最 大 限度 地 发 挥 了 作用 ， 提 供 了 各 种 
形式 的 用 户 界 面 ， 使 用 户 有 一 个 好 的 工作 环境 ， 为 其 他 软件 的 开发 提供 必要 的 服务 和 相应 
的 接口 。 实 际 上 ， 用 户 是 不 用 接触 操作 系统 的 ， 操 作 系统 管理 着 计算 机 硬件 资源 ， 同 时 按 
照应 用 程序 的 资源 请 求 ， 为 其 分 配 资源 ， 如 划分 CPU 时 间 、 内 
存 空 间 的 开辟 、 调 用 打印 机 等 。 操 作 系统 所 在 的 位 置 如 图 21.1 用 户 
所 示 。 

以 上 就 是 操作 系统 在 一 台 计 算 机 中 所 处 的 位 置 。 操 作 系 统 
的 种 类 很 多 ， 各 种 设备 的 操作 系统 从 简单 到 复杂 ， 可 分 为 智能 应 用 软件 
卡 操作 系统 、 实 时 操作 系统 、 传 感 节点 操作 系统 、 嵌 入 式 操 作 
系统 、 个 人 计算 机 操作 系统 、 多 处 理 器 操作 系统 、 网 络 操作 系 
统 和 大 型 机 操作 系统 。 按 应 用 领域 划分 主要 有 3 种 : 桌面 操作 
系统 、 服 务 器 操作 系统 和 红 入 式 操作 系统 。 下 面 将 详细 介绍 这 
3 种 操作 系统 。 


1， 桌面 操作 系统 


桌面 操作 系统 主要 用 于 个 人 计算 机 。 个 人 计算 机 市 场 从 硬 
件 架构 上 来 说 主要 分 为 两 大 阵营 , PC 和 Mac 机 。 从 软件 上 主要 分 为 两 大 类 ， 分 别 为 类 Unix 
操作 系统 和 Windows 操作 系统 。 

(1) Unix 和 类 Unix 操作 系统 : 包括 Mac OS X 和 Linux 发 行 版 (如 Debian、Ubuntu、 
Linux Minit、Fedora 和 RHEL 等 ) 。 

(2) 微软 公司 Windows 操作 系统 : 包括 Windows 98、Windows XP、Windows Vista、 
Windows 7、Windows 8 和 Windows 8.1 等 。 


Th 


操作 系统 


硬件 


图 21.1 操作 系统 所 在 的 位 置 


第 21 章 “操作 系统 启动 过 程 抓 包 分 析 


2. 服务 器 操作 系统 


服务 器 操作 系统 一 般 指 的 是 安装 在 大 型 计算 机 上 的 操作 系统 , 如 Web 服务 器 、 应 用 服 
务 器 和 数据 库 服务 器 等 。 服 务 器 操作 系统 主要 集中 在 三 大 类 ， 如 下 所 示 。 

(1) Unix 系列 : SUNSolaris、IBM-AIX、HP-UX、FreeBSD 和 OS X Server 等 。 

(2) Linux 系列 : Red Hat Linux、CentOS、Debian 和 Ubuntu Server 等 。 

(3) Windows 系列 : Windows NT Server、Windows Server 2003、Windows Server 2008 
和 Windows Server 2008 R2 等 。 


3. 底 入 式 操作 系统 

嵌入 式 操 作 系统 是 应 用 在 能 入 式 系统 的 操作 系统 。 嵌 入 式 系统 广泛 应 用 在 生活 的 各 个 
方面 ， 涵 盖 范围 从 便携 设备 到 大 型 固定 设施 ， 如 数码 相机 、 手 机 、 平 板 电 脑 、 家 用 电器 、 
医疗 设备 、 交 通 灯 等 。 越 来 越 多 的 嵌入 式 系统 安装 有 实时 操作 系统 。 

在 嵌入 式 领域 常用 的 操作 系统 有 榜 入 式 Linux、Windows Embedded 和 VxWorks 等 ， 
以 及 广泛 使 用 在 智能 手机 或 平板 电脑 等 消费 电子 产品 上 的 操作 系统 ， 如 Android、IOS、 
Symbian、Windows Phone 和 BlackBerry OS 等 。 


21.2 ”捕获 操作 系统 启动 过 程 产生 的 数据 包 


下 面 以 Windows 7 操作 系统 为 例 ， 捕 获 该 系统 启动 过 程 的 数据 包 。 实 验 环境 如 图 21.2 
所 示 。 


路 由 器 


i 
Ee 
出 
Le 
忆 


主机 A WIRESHARK 看 | 


主机 B 


IP : 192. 168. 5. 4 IP : 0.0.0.0 
MAC:50- E5- 49- EB-46- 8D MAC:00- 19- 21- 3F- C3- E5 


图 21.2 实验 环境 


根据 以 上 的 介绍 配置 好 实验 环境 ， 然 后 就 可 以 开始 抓 包 了 。 在 以 上 实验 环境 中 主机 A 


“9% 
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是 Linux 操作 系统 ， 主 机 B 是 Windows 操作 系统 。 本 例 中 选择 抓 取 Windows 操作 系统 的 
包 ， 所 以 在 主机 A 上 开启 Wireshark 工具 进行 抓 包 。 

捕获 Windows 系统 启动 过 程 的 数据 包 。 具 体操 作 步 又 如 下 所 示 。 

(1) 启动 Wireshark 工具 。 

(2) 在 Wireshark 的 主 界面 菜单 栏 中 依次 选择 Capture|lOptions 命令 ， 或 者 单 击 工 具 栏 
中 的 图 (显示 捕获 选项 ) 图 标 打 开 Wireshark 捕获 选项 窗口 ， 如 图 21.3 所 示 。 


Wireshark: Capture Options 画 硬 园 
Capture 


| 
Capture Interface Link~layer header Prom. Mode Snaplen[B] Buffer[MB] Monfl 


Capture on all interfaces Manage Interfaces 


可 Use promiscuous mode on all interfaces 


Capture Filter; Sn Compile selected BPFs 
Capture Files Display Options 
File: /root/Desktop/Windows.pPcapng Browse,. 可 Update list of packets in real time 
Se Se 可 Automatically scroll during Live capture 
F Next fllee v 
WF Hide capture info dialog 
Name Resolution 
pu NR 可 Resolve MAC addresses 


Stop Capture Automatically After... 二 
Resolve network-layer names 


了 Resolve transport-layer name 


v Use external network name resolver 


帮助 (H) Start 关闭 (C) 


图 21.3 捕获 选项 窗口 


(3) 在 该 界面 选择 捕获 接口 ， 并 设置 捕获 文件 的 位 置 。 然 后 单 击 Start 按钮 ， 开 始 捕获 
数据 包 。 

(4) 启动 主机 B (Windows 操作 系统 ) 。 成 功 启动 该 主机 后 ， 返 回 到 主机 A， 停 止 
Wireshark 捕获 数据 包 ， 将 显示 如 图 21.4 所 示 的 界面 。 

(5) 该 界面 显示 了 Windows 系统 启动 整个 过 程 的 数据 包 。 在 Wireshark 的 Packet List 
面板 中 ，Protocol 列 可 以 看 到 有 IGMPv3、LLMNR 、ARP 和 DHCP 等 协议 的 数据 包 。 后 面 
将 对 产生 的 这 些 数 据 包 ， 进 行 详细 分 析 。 
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Windows.pcapng [Wireshark 1.10.2 (SVN Rev 51934 from /trunk-1.10)] 


File Edt View Go Capture Analyze Statistics Telephony Tocls Internals Help 


OO@ATisXcClae3 旦 | 周 辐 eg 四 | 六 ~ 
Filter: ~ Expression... lear Appl ~ 
No. Time Source Destination Protocol Lengtt Info 


70 Router Solicitation from 00:19:21:3f:c3: 


ICMpv6 90 Multicast Listener Report Message v2 
Icwpv6 90 Mutticast Listener Report Message v2 
ICMPv6 70 Router Solicitation from 00:19:21:3f:c3: 
ICMPv6 90 Multicast Listener Report Message v2 


ICMPpv6 90 Multicast Listener Report Message v2 
ICMpv6 90 Multicast Listener Report Message v2 
LUMNR 92 Standard query Oxf6f9 ANY Windows7Test 
pHcP 342 DHCP Discover - Transaction ID oOxdd820ed 
App 60 who has 192.168.5.2? Tell 192.168.5.1 
LUMNR 92 Standard query Oxf6f9 ANY Windows7Test 
90 Multicast Listener Report Message v2 

590 phaP offer 。 - Transaction ID Oxdde20ed 
- Transaction ID Oxdd820ed 
Transartinn TN Nvdda2ned 


10 4.842507000 0.0.0.0 255.255.255.255 
Broadcast 


16 snsaocnnnn_ 197 IaR 51 3ss )ss ss 365 nrp 


Profile: Default 


jroot/Desktop/Windows pca... : Packets: 203 - Displayed: 203 (100.0%) 


图 21.4 系统 启动 过 程 捕 获 的 数据 包 


21.3 ”分 析 数 据 包 


通过 以 上 对 操作 系统 的 描述 及 数据 包 的 捕获 ， 已 成 功 捕获 到 了 操作 系统 启动 过 程 的 数 
据 包 。 接 下 来 ， 本 节 将 介绍 对 捕获 到 的 数据 包 进 行 分 析 。 


21.3.1 ”获取 IP 地 址 
当 处 在 一 个 网 络 中 的 主机 启动 后 ， 首 先 要 从 DHCP 服务 器 上 获取 IP 地 址 。 下 面 以 


Windows.pcapng 捕获 文件 为 例 , 分 析 Windows 7 操作 系统 启动 过 程 获 取 下 地 址 的 数据 包 。 
打开 Windows.pcapng 捕获 文件 ， 显 示 结 果 如 图 21.5 所 示 。 


Windowspcapng IWireshark1107 wl107.0-g6b9ilalfommesterllIil lao 
Fle Edt Yew Go Capture Anayze Statstcs Telephony IToos Intemas Hep 
©O@RMADOXDSAP9HOF 和 | 和 QI 回电 其 | 加 
站 spreesor- Clear Apply Save 
Protocol Length Info 
40aICMPYV6 78 Neighbor Solicitation for fe80::cc3c:f919:| 司 
ICMPVv6 70 Router Solicitation from 00:19:21:3f:c3:e5 
ICMPv6 。 90Multicast Listener Report Message v2 
TCMpv6 ~ 90Multicast Listener Report Message v2 
:cc3c:f919:b'ff02 ICMPv6 70 Router Solicitation from 00:19:21:3f:c3:e5 
65 4.768236000 :cc3c:f919:b'ffOZ ICMPv6 ~ 90Multicast Listener Report Message v2 
7 4.771380000 ICMPVG 90 Multicast Listener Report Message v2 
8 4.771657000 ICMPv6 90 Multicast Listener Report Message v2 
9 4.779570000 fe80::cc3c:f919:b'ff02: :1:3 LiMNR 92 scandard query Oxf6f9 ANY windows7Test 
10 4.842507000 255.255.255.255 DHCP 342 DHCP Discover - Transaction ID Oxdd820ed6 
11 4.849010000 3 ARP 60 who has 192.168. 5.2? Tell 192.168.5.1 
12 4.875132000 LUMNR 92 Srandard query Oxf6f9 ANY windows7Test 
13 5.000053000 ICMPV6 90 Multicast Listener Report Message v2 
14 5.047765000 192.168.5.1 255.255.255.255 DHCP 590 DHCP offer - Transaction ID Oxdd820ed6 
15 5.047783000 0.0.0.0 255.255.255.255 DHCP 362 phCP Request - Transaction ID 0xdd820ed6 
16 5.058258000 192.168.5.1 255. 255. 255. 255 Dhcp 590 phCP AcK ~ - Transaction ID Oxdd820ed6 ~ 
人 ; 
© 图 | Fie: “C:\Users\Admnistrator\Desktop\... | Packets: 203 * Displayed: 203 (100.0%) ~ Load time... | Profie: Defeuk 


图 21.5 Windows.pcapng 捕获 文件 
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在 该 图 中 的 1 一 8 帧 ， 是 客户 端 请 求 获 取 IPv6 地 址 的 相关 数据 包 。10 和 14 一 16 帧 ， 
是 客户 端 请 求 获取 IPv4 地 址 过 程 的 数据 包 。 在 该 界面 ， 用 户 都 会 看 到 还 有 一 种 协议 
(LLMNR) 的 数据 包 。 这 里 首先 简单 介绍 该 协议 的 作用 ， 以 及 该 数据 包产 生 的 原因 。 

LLMNR 〈 链 路 多 播 名 称 解 析 ) 协议 是 为 使 用 IPv4、IPv6 或 者 同时 使 用 着 两 种 地 址 的 
设备 提供 了 点 对 点 名 称 解析 服务 ， 可 以 让 同一 子 网 中 的 IPv4 和 IPv6 设备 不 需要 WINS 或 
DNS 服务 器 就 可 以 解析 对 方 的 名 称 ， 而 这 个 功能 是 WINS 和 DNS 都 无 法 完全 提供 
虽然 WINS 可 以 为 IPv4 提供 客户 端 /服务 器 以 及 点 对 点 名 称 解析 服务 ， 不 过 并 不 支持 
IPv6 地 址 。 至 于 DNS， 虽然 支持 IPv4 和 IPv6 地 址 ， 但 必须 通过 专门 的 服务 器 才能 提供 名 
称 解析 服务 。 所 以 为 了 兼容 性 ， 使 用 LLMNR 代替 了 DNS 提供 解析 服务 。 这 也 是 在 
Windows.pcapng 捕获 文件 中 ， 出 现 LLMNR 协议 数据 包 的 原因 。 

由 于 启用 LLMNR 的 计算 机 的 名 称 在 本 地 子 网 上 必须 是 唯一 的 ， 所 以 大 部 分 情况 下 ， 
计算 机 在 启动 的 时 候 ， 以 及 从 待机 状态 恢复 时 ， 或 者 修改 了 网 络 接口 的 设置 后 ， 计 算 机 都 
会 检查 自己 的 唯一 性 。 在 该 数据 包 中 请 求 查询 主机 名 Windows7Test， 就 是 为 了 确定 自己 计 
算 机 名 称 的 唯一 性 。 


全 


21.3.2 ”加 入 组 播 组 


当 客 户 端 获取 到 IP 地 址 后 ， 将 会 请 求 加 入 一 个 组 播 组 中 。 当 加 入 一 个 组 播 组 后 ， 可 以 
识别 并 接收 以 该 下 组 播 地 址 为 目的 地 址 的 下 报 文 。 通 过 组 播 传输 数据 ， 可 以 提高 数据 传 
输 效 率 ， 并 减少 了 网 络 出 现 拥塞 的 可 能 性 。 本 例 中 请 求 加 入 组 播 组 的 数据 包 ， 如 图 21.6 
所 示 。 


Ml windowspcapng [Wireshark 1107 (v1107-0-96b931al fom master-110)] [= © 
Ele Edt Yew Go Cpture Anavze gtatstcs Telephony Toos Intemas Hep 

回回 着 大 区 | 巴 包 其 多 | 以 中 国定 业 QQ@QDI 硬 加 风 关 | 加 

四 epesson- cear Appy Save 

Protocol_tength Info 


ENR dard query OX525e ANY 7Test 
LLMNR 全 | query Ox525e ANY Windows7Test 


LLMNR 92 Standard query Ox525e ANY windows7Test 

Ee 0.2 LUMNR 72 Standard query Ox525e ANY Windows7Test 
25 5.499879000 Elitegro_3f:cBroadcast ARP 60 Who has 192.168.5.2? Tel1 0.0.0.0 | 
26 5.499944000 192.168.5.2 224.0.0.22 IGMPV3 50 Membership Report / Join group 224.0.0.252 1 
27 5.500036000 fe80::cc3c:fsff02::16 ICMPv6 90 Multicast Listener Report Message v2 | 
28 5.830721000 192.168.5.2 192.168.5.255 NBNS 110 Registration NB RE 
29 5.830851000 192.168.5.2 192.168.5.255 WS 110 Registration NB WORKGROUI 
30 6.250845000 Elitegro_3f:cBroadcast 60 who has 192.168. 5.1? el 192. 168.5.2 
31 6.251460000 TendaTec_84:7Elitegro_3f:c3: Br 650 192.168.5.1 is ar c8:3a:35:84:78:1e 

画 
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图 21.6 加 入 组 播 组 的 数据 包 
图 中 第 20、26 帧 就 是 请 求 加 入 组 播 组 的 数据 包 。 


21.3.3 发 送 NBNS 协议 包 


NBNS 协议 指 的 是 网 络 基本 输入 /输出 系统 (NetBIOS) 名 称 服务 器 。NBNS 协议 是 
TCP/IP 上 的 NetBIOS 协议 族 的 一 部 分 ， 它 在 基于 NetBIOS 名 称 访问 的 网 络 上 提供 主机 名 
和 地 址 映射 方法 。 

NetBIOS 协议 是 由 IBM 公司 开发 ， 主 要 用 于 数 十 台 计算 机 的 小 型 局 域 网 。 该 协议 是 一 
种 在 局 域 网 上 的 程序 可 以 使 用 的 应 用 程序 编程 接口 API) ， 为 程序 提供 了 请 求 低级 服务 
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的 统一 命令 集 ， 作 用 是 为 局 域 网 提供 网 络 以 及 其 他 特殊 功能 。 系 统 可 以 利用 WINS 服务 、 
广播 及 Lmhost 文件 等 多 种 模式 将 NetBIOS 名 〈 指 基于 NetBIOS 协议 获得 计算 机 名 称 ) 解 
析 为 相应 的 人 P 地 址 ， 以 实现 通信 。 所 以 ， 在 局 域 网 内 部 使 用 NetBIOS 协议 可 以 方便 地 实 
现 消 息 通信 及 资源 的 共享 。 因 为 它 占 用 系统 资源 少 ， 传 输 效 率 高 ， 所 以 几乎 所 有 的 局 域 网 
都 是 在 NetBIOS 协议 的 基础 上 工作 的 。 

在 Windows 系统 中 , NetBIOS 协议 默认 是 开局 的 。 所 以 将 使 用 NBNS 协议 广播 自己 的 
主机 名 和 工作 组 信息 ， 以 访问 网 络 中 的 共享 资源 。NBNS 的 数据 包 如 图 21.7 所 示 。 
Windowspcapng IWireshark1107 (vil07-0-g6b93lalfiommasterl10] eel 


Ele Edt View Go Capture Anayze Statstics Telephony IToos Intemas Hep 
dd| 饭 XSIA9 人 中 TF | 国 国 aaQQOI 术 四 加 关 | 加 


Fer | Expression.. Clear Apply Save 
INo. < Time Source Destination Protocol Length Info 
| 29 5.830851000 192.168.5.2 192.168.5.255 NBNS 110 Registration NB 二 
30 6.250845000 e5 Broadcast ARP 60 who has 192.168. 5.1? TelT 1 192.168.5.2 
| 31 6.251460000 Elitegro_3f:c3: 60 192.168.5.1 is at c8:3a:35:84:78:1e 
| 32 6.499955000 Broadcast 60 who has 169.254.64.171? Te11 0.0.0.0 
33 6.499966000 Elitegro_3f:c3:e5 Broadcast i 60 who has 192.168.5.2? Tell 0.0.0.0 
| 34 6.578269000 192.168.5.2 192.168.5.255 NBNS 110 Registration NB WORKGROUP<00> 
35 6. 578312000 192.168.5.2 192.168.5.255 。 NBNS 110 Registration NB WINDOWS7TEST<00> 
36 7.328240000 192.168.5.2 192.168.5.255 NBNS 110 Registration NB WINDOWS7TEST<00> 
37 7.328272000 192.168.5.2 192.168.5.255 NBNS 110 Registration NB WORKGROUP<00> 
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图 21.7 NBNS 数据 包 


在 图 21.7 中 ，28 一 29 和 34 一 37 数据 帧 都 是 客户 端 发 送 的 NBNS 协议 包 ， 以 告知 局 域 
网 中 所 有 主机 的 主机 名 和 工作 组 环境 。 从 以 上 包 信 息 中 ， 可 以 看 到 当前 系统 提供 的 主机 名 
为 WINDOWS7TEST， 所 处 的 环境 为 工作 组 WORKGROUP。 


21.3.4 ARP 协议 包 的 产生 


由 于 当前 主机 要 访问 网 络 中 的 共享 资源 ， 所 以 必须 通过 路 由 器 转发 获取 。 由 于 系统 刚 
启动 ， 还 没有 记录 任何 主机 的 ARP 条 目 ， 所 以 这 里 首先 使 用 ARP 协议 请 求 获取 到 路 由 器 
(网 关 ) 的 MAC 地 址 ， 然 后 才 可 连接 到 网 络 。 在 Windows.pcapng 捕获 文件 中 ， 捕 获 到 的 
ARP 包 如 图 21.8 所 示 。 


fl windowspcapng [Wireshark 1107 (v1.107-0-g6b931al from master-110] esl) 
Ee Edt Vew Go Capture Anayze Statstics Telephony Ioos Intemas Hep 
© 大 关 玫 | 宾 久久 | 人 外 中 辐 本 和 业 QQQDI 可 加 风 关 | 加 


Fiker [=) pression.. Clear Apply Save 
|No. < Time Source Destination protocol Length Info 四 
30 6.250845000 Elitegro_3f:c3:e5 Broadcast 60 who has 192.168. 5.1? Te11 192.168.5.2 
31 6.251460000 TendaTec_84:78:1le Elitegro_3f:c3: A 60 192.168.5.1 is at C8:3a:35:84:78:1e 
| 326.499955000 Elitegro_3f:c3:e5 Broadcast ARP 60 who has 169.254.64.171? Tell 0.0.0.0 
33 6.499966000 Elitegro_3f: = e5 Broadcast ARP 60 who has 192.168.5.2? Tell 0.0.0.0 
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图 21.8 ARP 包 


在 该 界面 的 30~33 帧 ， 就 是 在 该 系统 启动 后 发 送 的 ARP 数据 包 。 当 请 求 到 路 由 器 的 
MAC 地 址 后 ， 就 可 以 连接 到 网 络 进行 数据 通信 了 。 
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21.3.5 ”访问 共享 资源 


本 例 中 的 操作 系统 中 通过 SMB 协议 成 功 访问 了 一 个 共享 资源 。 所 以 ， 捕 获 到 了 如 图 
21.9 所 示 的 数据 包 。 
I windows pcapng [Wireshark 1107 (v1.10.7-0-g6b931al from master-1.10)] lo em 


Ele Edt Vew Go Capture Anayze Statistics Telephony Took Intemas Hep 
agli|SDXSlIAe 人 OT | 国 国 QQQD| 本 四 加 关 | 加 


Fiher | bpression- Clear Appy Save 
INo. Time inati Protocol Length Info < 
72 8. 997946000 SMB2 228 Negotiate protocol Response | 
73 8. 997955000 SMB2 162 Negotiate Prortocol Request 
74 8. 999790000 SMB2 228 Negotiate Protocol Response 


SMB2 220 Session Setup Request, NTLMSSP_NEGOTIATE 
329 Session Serup Response, Error: STATUS_MOREPROCESSING REQUIRED, 
TEST\Share, U 


75 9.035961000 
76 9.035974000 


加 


138 Tree Connect Response 


81 9.040168000 SMB2 218 Iocr1 Request FSCTL_DFS_GET_REFERRALS, File: \192.168.0.3\share 
82 9.041731000 SMB2 131 ITocr1 Response, Error: STATUS_FS_DRIVER_REQUIRED 
83 9.043247000 SMB2 168 Tree Connect Request Tree: \\192,168.0.3\share 
84 9.340840000 .2 SMB2 138 Tree Connect Response 
Ca i » 
| 
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图 21.9 共享 资源 


以 上 数据 包 ， 就 是 当前 系统 访问 共享 资源 的 数据 包 。 从 第 77 帧 可 以 看 到 访问 共享 资 
源 使 用 的 用 户 认证 信息 。 第 83 帧 表示 客户 端 使 用 UNC 路 径 〈\192.168.0.3\share) 成 功 连 
接 到 了 共享 服务 器 。 


21.3.6 ”开机 自动 运行 的 程序 


本 例 中 安装 了 迅雷 下 载 工 具 , 所 以 捕获 到 连接 迅雷 网 站 的 一 些 相关 数据 包 , 如 图 21.10 
所 示 。 


A windows pcapng [Wireshark 1107 (v1.10.7-0-g6b931a1 from master-1.10)] TI 一 > 一 | 
Ele Elt Yew Go Cpture Anayee Statstc Teephony Toog Jntemas Heb 

OOH| 白 有 其 久久 外人 中 国定 生 QQQ 昌 | 该 加 加 关 | 加 
Fer [=] spressor- Clear Appy Save 

No Time Source Destination Protocol lengh Info 


89 10.622131000 19: 192. 2 DNS 189 5t d query response 0x3630 CNANE mages， 
90 10.625814000 192.168.5.2 182.118.18.20.TCP 66 49159 > http [SYN] Seq=0 Win=8192 Len=0 MSS=1460 WS=256 
91 10.638461000 182.118.18.2(192.168.5.2 TCP 66 http > 49159 [SYyN, ACK] Seq=0 Ack=1 Win=14600 Len=0 MSS- 
92 10.638653000 192.168.5.2 182.118.18.20,TCP 60 49159 > http [ACK] Seq=1 Ack=l win=17152 Len=0 

93 10.639971000 192.168. 159 GET /7.9/XLServiceLoadplatform_7.9.27.ini HTTP/1.1 


95 10.652732000 182.118， 2 60 http > 49159 [ACK] Seq=l Ack=106 Win=17024 Len=0 
96 10.653968000 182.118.18.2(192.168.5.2 HTTP 1047 HTTP/1.1 200 oK (application/octet-stream) 
97 10.653973000 182.118.18.2(192.168.5.2 TCP 60 http > 49159 [FIN, ACK] Seq=994 Ack=106 Win=17024 Len=0 
98 10.654146000 192.168.5.2 182. p 60 49159 > http [ACK] Seq=106 Ack=995 win=16128 Len=0 
| 99 10.654437000 192.168.5.2 182. 60 49159 > http [FIN, ACK] Seq=106 Ack=995 win=16128 Len=0 
| | 100 10.666896000 182.118.18.2(192.168.5.2 TCP 60 http > 49159 [ACK] Seq=995 Ack=107 win=17024 Len=0 - 
中 [ Mm ] » 
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图 21.10 运行 的 迅雷 程序 包 


在 该 界面 显示 了 运行 的 迅雷 程序 包 。 在 第 88 帧 请 求解 析 x17xml.client.xunlei.com 域名 
的 耳 地 址 ， 第 89 帧 获取 到 了 该 域名 的 卫 地 址 。 在 第 93 帧 ， 客 户 端 向 解析 出 的 地 址 发 送 
了 HTTP GET 请 求 。 第 96 帧 ， 服 务 器 响应 了 客户 端 请 求 的 信息 。 
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